Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pág.
1. INTRODUCCIÓN .............................................................................................. 3
2. OBJETIVOS ...................................................................................................... 4
BIBLIOGRAFÍA ...................................................................................................... 19
2
1. INTRODUCCIÓN
Por este motivo haremos las precisiones del caso con estos términos. Integridad
hace referencia a que la información no has sido modificada de forma mal
intencionada o fraudulenta desde su creación o emisión ; un ejemplo seria
transacciones financieras que no hayan sido adulteradas y siempre que se
necesite su consulta o verificación sigan siendo los mismos datos. Otra
definición importante es la disponibilidad que sencillamente se refiere a que la
información este al alcance en el momento que se requiera por un usuario.
Aparte de los anteriores tres conceptos algunos autores incluyen otros como la no
repudiación o no repudio que consiste en garantizar la trazabilidad de una
operación o mensaje entre un emisor y un receptor que pueda comprobar que
efectivamente el usuario si realizo la operación o que el destinatario
efectivamente la recibió; esto no solo aplica a transacciones financieras, también
es muy usado en el comercio electrónico. Retomando los conceptos adicionales,
hay quien además del triángulo cia incluyen posesión o control, autenticidad ,
utilidad para formar el parkerian Hexad o sexteto prkerian.
2. OBJETIVOS
4
3. PLANTEAMIENTO DEL PROBLEMA
3.1 ROLES
NOMBRE ROL
YESENIA ALEXANDRA PERALTA VIGÍA DEL TIEMPO
ANTONIO AMYA UTILERO
EDWIN ANDRES JIMENEZ ENTREGAS.
JUAN DAVID ROMERO COMUNICADOR
ABIR SAMIRA ZUBIRIA RELATOR
5
o Fortigate 100D (1025 Dólares)
o Licencias 100D 3 años (4209 Dólares)
o Licencia 60D 3 años (3800 Dólares)
o Licencias USM AlienVault 1 año (2949 Dólares)
o Kaspersky security center 11 licencia (3680 Dólares)
o Total inversión: 16.639 Dólares 66.473.688 pesos
Tabla 2
Herramientas
Monitoreo y Alertas
Filtros de trafico de red y
Acceso de Red
Interno Detección de amenazas
Protección estaciones de
usuario Final
Protección Servidores
Monitoreo y Alertas
Filtros de trafico de red y
Acceso de Red
Detección de amenazas
Protección estaciones de
Externo
usuario Final
Protección Servidores
6
Servicio de vigilancia edificio celaduría 7*24
Planta de enfriamiento.
Planta eléctrica de respaldo 7*24
Ingreso recepción con tarjeta de acceso y detector de metales.
Ingreso a la oficina con cerradura digital con sensor de huella.
Ingreso a sala de control TI con reloj biométrico con huella
Gestión y control:
Directorio activo.
File server configurado con permisos de acceso por propietario de proceso.
Ingreso a firewalls y servidores con doble factor de autentificación.
Estación de trabajo:
Asignación de equipo final a cada usuario.
Equipos con encriptado full Kaspersky.
Bloqueo de memorias USB, bluetooth y wifi.
Lista de acceso a navegación por MAC.
Portal captivo Fortigate.
Agente de registro de actividades OSSEC que enviar información para ser
correlacionada en un SIEM.
Plantilla GPO administrada por el directorio activo la cual activa los logs de
Windows dedicados a la verificación de actividades de los usuarios.
Gestión humana:
7
4.2 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA
8
Políticas y procedimientos:
Al igual que las normas y procedimientos que se establecen en una compañía a nivel de
gestión humana, comportamiento y deberes, también se deben establecer políticas y
procedimientos para el manejo de la información enfocado a la seguridad. De igual forma
estos procedimientos deben comunicarse a toda la organización de forma que se puedan
entender y aplicar fácilmente.
Seguridad Física:
Comprende todas aquellas medidas para que un atacante no tenga acceso físico a los
equipos e infraestructuras de red de una compañía u organización. Todo esto con el fin de
establecer una barrera física.
Perímetro:
El perímetro comprende el conjunto de todos los puntos de una red interna conocida, la
cual es gestionada por la organización. Dicha red interactúa con redes externas y es aquí
donde la seguridad perimetral juega un papel fundamental implementando todos aquellos
controles a través de dispositivos o herramientas como firewall, DMZ, VPN, entre otros.
Defensa de Red:
Consiste en proteger la red de posibles intrusiones en las que un atacante puede ver
información importante o incluso modificarla. Existen sistemas de detección de intrusiones
y de prevención de intrusiones que han sido desarrollados y buscan prevenir e identificar
accesos no autorizados a la red.
Defensa de aplicaciones:
Son todas aquellas medidas de autenticación para realizar un eficaz control de acceso a
los usuarios.
Defensa de Datos:
En la actualidad existen herramientas de protección de datos que básicamente hacen un
cifrado de los mismos, y mediante un proceso de autenticación y autorización, restringen
el uso a personas no autorizadas.
9
5. ANÁLISIS DEL DESARROLLO DEL PROYECTO
Luego de exponer los posibles riesgos a los que se encuentra expuesto Cross Border
Technology en cuanto a los físico, infraestructura y gestión humana, se inicia aplicando el
ciclo de mejora continua en búsqueda de reducirlos a un porcentaje mínimo:
Tabla 3
Riesgos físicos
Inundación en la oficina por falla en la infraestructura del edificio. (Planta de
enfriamiento en el piso 12)
P D C A
Mantenimiento Instalación de sensores Prueba de Registro de eventos
predictivo y de humedad, canaletas funcionamiento de los acorde a los
preventivo de los exteriores y desagües equipos de del sistema cambios realizados
equipos cada 3 en caso de emergencia de desagüe de en caso de
meses en el piso 12 emergencia cada 6 incidente y prueba
meses de 6 meses
Pérdida de acceso a la oficina por derrumbe u otros factores externos. (Edificio cerca
de una montaña)
P D C A
Respaldo de la Contrata un servicio de Validar con el IDIGER y Validación por
informacion en póliza contra desastres su Sistema Distrital de parte del personal
servidores en la nube naturales, que incluya Gestión de Riesgos y especializado en
y pólizas en caso de pruebas de peritazgo Cambio Climático si ha caso de temblores
desastres naturales para la estructura y los habido anomalías, que puedan afectar
que amparen los equipos la estructura
equipos
Falla o degradación del servicio por sobrecalentamiento en el cuarto de equipos
P D C A
Instalación de un Validar con expertos en Verificar si el cooler Pruebas de
cooler system que normatividad RITEL y system ayuda en la eficiencia de los
por normatividad RETIE evitando la reducción de la dispositivos
eléctrico y de obtención de una temperatura del instalados y en los
telecomunicaciones sanción en caso de espacio al que fue equipos
de encontrarse en siniestro, por no contar destinado, en la refrigerados
dicho espacio con el cooler system eficiencia de los
equipos
Indisponibilidad de servicio por falla energía eléctrica en cuarto de equipos. (Falla
encendido plata eléctrica edificio superior a 15 min lo que dura la UPS del cuarto de
equipos)
P D C A
Determinar la Verificar que los KVA, Luego de instalada Validar en el
potencia de los autonomía en tiempo y hacer pruebas de registro de los
servidores y equipos en la red electrica de la funcionamiento y equipos y la UPS
de uso vital para la UPS correspondan a los validar la instalación los bajones de
organización y a si requerimientos de los que deberá ser online o energía y
adquirir un UPS equipos, revisar en su defecto por suspensiones y de
online que brinde protecciones e bypass esta manera
respaldo únicamente instalación que deberá identificar su
a los sectores ser trifásica conforme eficiencia, de lo
primordiales al requerimiento contrario de se
deba aumentar la
11
cantidad de
baterias
Intrusión o acceso forzado instalaciones y sistemas de información
P D C A
Identificar las fallas Instalación de puertas Verificar posibles En caso de fallas
del sistema de de seguridad y alarmas intrusiones parciales o modificar el
seguridad actual, con CCTV, totales a las esquema de
requerimientos de monitoreadas las instalaciones de la seguridad y los
software y personal 24horas organización protocolos de este
especializado
Acceso no autorizado (oficinas, edificio, sala, centro de cómputo).
P D C A
Creacion de un Instalación de sistemas Verificar si se generó la Tomar medidas
protocolo tipo biométricos o de restricción al acceso, correctivas, cuando
castillo medieval que proximidad que mediante el cctv y el las tarjetas de
defina varios niveles restrinjan en acceso a registro de visitantes proximidad abran
de seguridad, que todas las dependencias del sistema. Adicional si todas las puertas y
vaya desde la puerta de la organización el protocolo fue no solo las que se
principal hasta las teniendo en cuenta eficiente han autorizado, y
oficinas que entradas principales y los casos en los que
contienen de emergencia. el personal
informacion sensible Capacitar el personal al desobedeció las
respecto. ordenes
Riesgos de Infraestructura
Pérdida de integridad y disponibilidad por cobertura insuficiente en el CCTV del cuarto
de equipos. (Sabotaje corporativo)
P D C A
Revisar el esquema Reconfigurar el Supervisión por parte En caso de falla del
jerárquico de acceso esquema de acceso, del coordinador de esquema
a las dependencias generar restricciones, ciberseguridad de la jerárquico y las
con informacion lo anterior al personal, organización si las modificaciones por
sensible instalar software para medidas correctivas posible espionaje,
modificación de fueron eficientes realizar rotación de
contraseñas cada 3 personal a través
meses y encriptación de la empresa de
continua contratación
Retrasos en las actividades operativas o incumplimiento contractual, debido a la
pérdida de información almacenada en los equipos de cómputo por fallas de
hardware o software.
P D C A
El equipo del area de Se realizarán Verificar el Solicitar a help
Help Desk debe mantenimientos, cumplimiento del Desk aumentar la
realizar predictivo, preventivo y cronograma por parte frecuencia de
mantenimientos a correctivo de hardware del equipo de help mantenimiento y
todos los equipos de y software de manera Desk, mediante sus de bajas en caso de
12
manera sistemática y programada a través de registros, hojas de vida requerirlo
programada un calendario de de equipos, bitácora y
actividades máximo demás documentación.
cada 3 meses
Interrupción total o parcial en las actividades de la Compañía debido a explotación de
vulnerabilidades conocidas en el software.
P D C A
Destinar un Disponer de un Inspeccionar mediante Si aún se presentan
segmento de conjunto de equipos el equipo de fallas en equipos
equipos para la tecnológicos de ciberseguridad la fuera del area de
validación de diferente naturaleza en efectividad del espacio pruebas, verificar
vulnerabilidades un espacio restringido restringido para los los niveles de
para realizar las equipos seleccionados seguridad de toda
pruebas de sin afectar las demás la organización y
vulnerabilidades dependencias seguir el protocolo
Interrupción parcial de las actividades por degradación del servicio Wifi en la oficina.
P D C A
Validar los verificar si las Hacer pruebas de Si se realizan los
diferentes servicios conexiones, redes y velocidad de internet cambios de
incluyendo el de access point son los en los nuevos dispositivos y de
internet del adecuados, para la dispositivos verificando red sin obtener
proveedor cantidad física de su eficacia, al estar cambios se sugiere
equipos instalados que ajustada a su vez la red, el cambio de
requieren conectividad, de lo contrario operador de
cambio de dispositivos aumentar la velocidad servicios de
o configuracion de la de la red internet
red
Ataques a la infraestructura tecnológica o vulneración del Sistema Operativo debido a
la ausencia de un proceso de aseguramiento
P D C A
Diseñar un Implementar una Auditar los procesos a Cambiar a una
mecanismo de metodología y sistema los cuales los afectan metodología más
proteccion y de gestión del riesgo en las políticas exigente y
respaldo para la la seguridad de la implementadas nuevamente
compañía en caso de informacion y un mapa auditar los
eventualidades de calor que permita procesos
interpretar la cantidad
de fallas, junto con un
programa de auditoría
interna
Falla en los canales de internet correspondiente a los proveedores críticos de los
canales VPN ETB y CLARO
P D C A
Validar los verificar si las Hacer pruebas de Si se realizan los
diferentes servicios conexiones, redes y velocidad de internet cambios de
incluyendo el de access point son los en los nuevos dispositivos y de
13
internet del adecuados, para la dispositivos verificando red sin obtener
proveedor cantidad física de su eficacia, al estar cambios se sugiere
equipos instalados que ajustada a su vez la red, el cambio de
requieren conectividad, de lo contrario operador de
cambio de dispositivos aumentar la velocidad servicios de
o configuracion de la de la red internet
red
Uso de contraseñas con un solo factor o método de autenticación que hace que sea
más fácil el acceso, cuando lo idea es implementar las que sean de múltiple factor
para autenticación.
P D C A
Implementación de Realizar la instalación Verificar si se han Los equipos que no
software y de software realizado los cambios cumplan con lo
configuraciones para especializado para y en contraseñas por descrito entraran
estructurar configuraciones para parte del equipo de en mantenimiento,
contraseñas de estructurar ciberseguridad verificación de
múltiple factor contraseñas de posibles fallas y
múltiple factor que vulnerabilidades
cambien cada 3 meses
Fraude financiero a través de la falsificación de firmas, sellos, credenciales y
autorizaciones por parte del personal del area encargada del manejo del dinero
P D C A
Fiscalizar todos los Definir cargos, Revisar ante entidades Se auditará todo el
procesos que jerarquías y protocolos estatales el pago de proceso por parte
involucren en area financiera de impuestos, el uso de de una entidad
movimientos de forma tal que una sola token para manejo de externa en
dinero o que de persona no pueda dinero en las oficinas búsqueda de fallas
cualquier manera tener el control total de las empresa, en el proceso
genere afectación a del manejo del dinero y autorizaciones por
la organización y su los sellos corporativos y escrito para el uso de
personal su uso sin autorización firmas, sellos y
y justificación aprobada credenciales
por la gerencia
Pérdida de información (contenida en documentación física, electrónica o digital).
P D C A
Creacion de sistema El modelo de gestión Validación en los Marcar las áreas,
de gestión de archivo de archivo estará registros de trabajadores o
que permita tener reglamentado por ley informacion si se sectores en los
una copia digital de nacional de forma tal presenta alguna cuales se presentan
toda la informacion que se garantice la falencia además en los mayores
física y un backup de seguridad de la procesos de auditoria incidencias y
la que originalmente informacion que se este será un punto aplicar los
se encontraba en tenga adicional de los fundamental para correctivos
cualquier otro medio respaldos creados y verificar requeridos
sanciones para quien
incumpla
14
Riesgos de Gestión humana
Fallas en el proceso de vinculación personal nuevo, que no cumple con los
requerimientos en visita domiciliaria, polígrafo y revisión de contenido en CV.
P D C A
Inspeccionar el Contratar una empresa Recursos humanos Gerencia revalidara
proceso de especializada en realizara el la eficiencia de las
contratación de la contratación y pruebas seguimiento a la decisiones tomadas
organización y de personal que empresa de a través de
detectar las falencias garanticen la valides de contratación auditorias
en el mismo por la informacion garantizando la
parte de recursos eficiencia
humanos
Pérdida o divulgación de información confidencial o privada por parte de un
colaborador.
P D C A
Validar contratación Indagar en los registros Verificar si las acciones Realizar los ajustes
y acciones legales en documentales y el correctivos del sistema necesarios al
caso de pérdida o sistema de gestión de de gestión de archivo sistema de gestión
divulgación de archivos verificando surtieron efectos de archivos y en
informacion informacion faltante y contratación en
tomar acciones caso de continuar
correctivas las perdidas
Envió de información a clientes sin cumplir los parámetros de seguridad necesarios.
(Encriptación, discos cifrados o medios magnéticos).
P D C A
Limitar el Crear una política de Verificar en diferentes Auditar la eficiencia
movimiento de informacion para ser etapas de filtros las de la política de
informacion que se le suministrada a los personas y métodos informacion
transmite al cliente clientes con filtros que autorizadas para
eviten la salida de comunicar informacion
informacion a los clientes
confidencial bajo
cualquier método
Divulgación no autorizada datos de clientes. (habeas data)
P D C A
Validación de Crear una política de Verificar si la política Auditar el proceso
políticas y informacion acerca del implementada se está en búsqueda de
normatividad acerca tratamiento de datos cumpliendo a cabalidad posibles falencias o
de habeas data en la de los clientes de la fugas de
organización organización informacion
Los empleados enfadados o resentidos son un riesgo potencial debido a que es difícil
determinar en qué momento cedan informacion, filtren virus o el acceso a los mismos
P D C A
Validación de Crear Contratos con Auditoria y Hacer efectivas las
jerarquías y acceso a cláusulas que seguimiento a los cláusulas descritas
la informacion por garanticen la procesos de en los contratos
15
parte de cada nivel conservación de la contratación y en cada acerca de
de las dependencias confidencialidad de la dependencia a los sanciones por la
con el fin de evitar informacion que se procesos laborales para filtración de
que la informacion maneja en la empresa, detectar posibles informacion y/o ser
sensible llegue a adicional capitación al vulnerabilidades y gestor de riesgos,
personal sin respecto fallas amenazas o
capacitación vulnerabilidades
para la
organización
16
6. CRONOGRAMA
Por medio de una gráfica o tabla se puede mostrar el tiempo que tomó el
desarrollo cada etapa de este trabajo.
19
de 2020]. Disponible en Internet:
http://search.ebscohost.com.bibliotecavirtual.unad.edu.co/login.aspx?direct=true&
db=nlebk&AN=1161980&lang=es&site=eds-live&scope=site
20