TAREA 1 - IDENTIFICACIÓN DE MODELOS DE SEGURIDAD INFORMÁTICA

ABIR SAMIRA ZUBIRIA

ANTONIO AMAYA
EDWIN ANDRES JIMENEZ
JUAN DAVID ROMERO
YESENIA ALEXANDRA PERALTA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
MODELOS Y ESTÁNDARES EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C.
MARZO 2020
 CONTENIDO

Pág.
1. INTRODUCCIÓN .............................................................................................. 3

2. OBJETIVOS ...................................................................................................... 4

2.1 OBJETIVO GENERAL ............................................................................................. 4

2.2 OBJETIVOS ESPECÍFICOS .................................................................................... 4
3. PLANTEAMIENTO DEL PROBLEMA ............................................................... 5

3.1 ROLES ................................................................................................................ 5

3.2 DEFINICIÓN DEL PROBLEMA ........................................................................... 5
3.3 DIAGNÓSTICO DE SEGURIDAD INFORMÁTICA INTERNO Y EXTERNO: ....... 5
3.4 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA: ............................................ 5
4. DESARROLLO DEL PROYECTO ..................................................................... 6

4.1 DIAGNÓSTICO DE SEGURIDAD INFORMÁTICA INTERNO Y EXTERNO ........ 6

4.2 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA .......................... 8
4.2.1 MODELO DE DEFENSA EN PROFUNDIDAD ............................................. 8
5. ANÁLISIS DEL DESARROLLO DEL PROYECTO ......................................... 10

5.1 CICLO DE MEJORA CONTINUA ...................................................................... 10

6. CRONOGRAMA.................................................................................................... 17
CONCLUSIONES .................................................................................................. 18

BIBLIOGRAFÍA ...................................................................................................... 19

2
 1. INTRODUCCIÓN

Inicialmente para el desarrollo de esta actividad académica haremos claridad en

que es la seguridad informática diciendo que es el conjunto de medidas y
controles implementados por una entidad con el propósito de proteger o asegurar
la integridad, disponibilidad y confidencialidad de la información que se almacena,
procesa y comunica. Esto suena como una frase de cajón y de alguna manera
enredado y hasta poco entendible o que pueda llegar a ocasionar confusiones.

Por este motivo haremos las precisiones del caso con estos términos. Integridad
hace referencia a que la información no has sido modificada de forma mal
intencionada o fraudulenta desde su creación o emisión ; un ejemplo seria
transacciones financieras que no hayan sido adulteradas y siempre que se
necesite su consulta o verificación sigan siendo los mismos datos. Otra
definición importante es la disponibilidad que sencillamente se refiere a que la
información este al alcance en el momento que se requiera por un usuario.

La tercera de estas definiciones es la confidencialidad que como su nombre lo

indica la información pueda ser accesada únicamente por los usuarios autorizados
, a este respecto la seguridad informática recomienda que toda información debe
ser encriptada pues si se presenta el robo de un equipo de cómputo, dispositivo de
almacenamiento o hasta la intercepción o sustracción de información no pueda ser
interpretada, o leída, dicha información puede ser desde información sensible
como planes de negocio, bases de datos, transacciones bursátiles, etc. Estos
tres conceptos conforman el llamado triángulo de la seguridad informática o
triangulo cia , por sus sigla en inglés Confidenciality, Integrity Availability.

Aparte de los anteriores tres conceptos algunos autores incluyen otros como la no
repudiación o no repudio que consiste en garantizar la trazabilidad de una
operación o mensaje entre un emisor y un receptor que pueda comprobar que
efectivamente el usuario si realizo la operación o que el destinatario
efectivamente la recibió; esto no solo aplica a transacciones financieras, también
es muy usado en el comercio electrónico. Retomando los conceptos adicionales,
hay quien además del triángulo cia incluyen posesión o control, autenticidad ,
utilidad para formar el parkerian Hexad o sexteto prkerian.
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Mediante diversas herramientas y mecanismos, determinar en nivel de seguridad

informática de una organización tanto a nivel interno y externo, a manera de
diagnóstico que permita validar su estado en cuanto a su compromiso e inversión
en la parte de ciberseguridad, todo esto como estrategia de aprendizaje.

2.2 OBJETIVOS ESPECÍFICOS

 Investigar de forma complementaria, acerca de los modelos preexistentes

en cuanto a seguridad informática existen, identificando cada una de sus
características aplicables a la organización por estudiar

 Analizar la organización a la cual se le llevara a cabo la cualificación de

seguridad informática

 Diagnosticar en la organización seleccionada cuál es su nivel de seguridad

interno y externo

4
 3. PLANTEAMIENTO DEL PROBLEMA

3.1 ROLES

Tabla 1. Roles del grupo de trabajo

NOMBRE ROL
YESENIA ALEXANDRA PERALTA VIGÍA DEL TIEMPO
ANTONIO AMYA UTILERO
EDWIN ANDRES JIMENEZ ENTREGAS.
JUAN DAVID ROMERO COMUNICADOR
ABIR SAMIRA ZUBIRIA RELATOR

3.2 DEFINICIÓN DEL PROBLEMA

El grupo colaborativo identificará una Empresa (Grande, Mediana o pequeña) en la cual

pueda tener acceso a información para validar los siguientes aspectos:

3.3 DIAGNÓSTICO DE SEGURIDAD INFORMÁTICA INTERNO Y EXTERNO:

Realizar un diagnóstico de seguridad informática en la cual se evidencie el estado actual

de la compañía a nivel interno y externo.

3.4 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA:

- Consolidarnos como una empresa referente a nivel nacional con el desarrollo de

nuestras líneas de negocio el sector de la consultoría, con productos y servicios
especializados en seguridad de la información, seguridad informática y continuidad del
negocio. Basados en nuestra innovación en consultoría y continuidad de negocio
mediante herramientas diseñadas a medida como CRS360.
- Construir seguridad como ideal en nuestras líneas de negocio, enfocados en la
necesidad específica de cada cliente para el desarrollo de elementos que apoyen su
operación, supervivencia y competitividad.
- Consolidar y expandir la compañía en el 2023 a mercados crecientes en
Latinoamérica, con aumento de nuestro portafolio de servicio, con presencia en Perú
como nuestra segunda sucursal y SOC alterno.
Inversión en seguridad informática en la compañía:

- Firewalls Fortigate, antivirus y licencias

o Fortigate 60D (976 Dólares)

5
 o Fortigate 100D (1025 Dólares)
o Licencias 100D 3 años (4209 Dólares)
o Licencia 60D 3 años (3800 Dólares)
o Licencias USM AlienVault 1 año (2949 Dólares)
o Kaspersky security center 11 licencia (3680 Dólares)
o Total inversión: 16.639 Dólares  66.473.688 pesos

4. DESARROLLO DEL PROYECTO

4.1 DIAGNÓSTICO DE SEGURIDAD INFORMÁTICA INTERNO Y EXTERNO

Levantamiento de información inicial:

La Empresa CROSSBORDER ofrece servicios especializados en seguridad de la

información, seguridad informática y continuidad del negocio esto lo realiza por medio de
consultoría. Que se adaptan a las necesidades de cada cliente, apoyando la gestión de
continuidad, seguridad y riesgos de las Organizaciones.

En la siguiente tabla se realizará un diagnóstico de las herramientas utilizadas interna y

externamente.

Tabla 2

Diagnóstico de Seguridad Informática

Herramientas
Monitoreo y Alertas
Filtros de trafico de red y
Acceso de Red
Interno Detección de amenazas
Protección estaciones de
usuario Final
Protección Servidores

Monitoreo y Alertas
Filtros de trafico de red y
Acceso de Red
Detección de amenazas
Protección estaciones de
Externo
usuario Final
Protección Servidores

Ubicación: Centro empresarial 128, Carrera. 7 # 127-48 piso 11

6
  Servicio de vigilancia edificio celaduría 7*24
 Planta de enfriamiento.
 Planta eléctrica de respaldo 7*24
 Ingreso recepción con tarjeta de acceso y detector de metales.
 Ingreso a la oficina con cerradura digital con sensor de huella.
 Ingreso a sala de control TI con reloj biométrico con huella

Defensa del perímetro:

 Firewalls: Fortigate 100D - Fortigate 60D (Licenciados hasta 2023)
 Antivirus: Kaspersky security center 11 (capacidad 50 dispositivos)
 Acceso remoto: FortiCliente (Solo habilitado para el firewall Fortigate 60D)
Segmentación:
 172.16.41.X – Área Administrativa
 172.16.31.X – Consultoría
 172.16.21.X – SOC
 172.16.11.X – TI
 192.168.220.X – Wifi invitados

 Autentificación: Directivas de contraseña (mínimo 8 caracteres, 1 mayúscula, 1

número y un carácter especial $!.-_?)

Gestión y control:
 Directorio activo.
 File server configurado con permisos de acceso por propietario de proceso.
 Ingreso a firewalls y servidores con doble factor de autentificación.

Estación de trabajo:
 Asignación de equipo final a cada usuario.
 Equipos con encriptado full Kaspersky.
 Bloqueo de memorias USB, bluetooth y wifi.
 Lista de acceso a navegación por MAC.
 Portal captivo Fortigate.
 Agente de registro de actividades OSSEC que enviar información para ser
correlacionada en un SIEM.
 Plantilla GPO administrada por el directorio activo la cual activa los logs de
Windows dedicados a la verificación de actividades de los usuarios.

Gestión humana:

 Proceso de reclutamiento personal

 Proceso polígrafo, visita domiciliaria, examen médico y plan antidrogas.

7
 4.2 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA

Consideramos que el modelo de defensa en profundidad le brinda a Cross Border

Technology las herramientas adecuadas para la gestión de su seguridad informatica, ya
que abarca diferentes aspectos de relevancia para la organización.

4.2.1 MODELO DE DEFENSA EN PROFUNDIDAD

El modelo de defensa en profundidad consiste en una serie de capas de seguridad que

buscan proteger la información de una organización o compañía. El concepto desciende
de las fuerzas militares y fue aplicado a la seguridad de la información. El objetivo
principal es establecer una defensa en capas en la que un atacante para poder obtener un
dato o información debe vulnerar varias medidas de seguridad.

Un modelo de defensa en profundidad debe tener las siguientes capas: Políticas y

procedimientos, seguridad física, perímetro, redes, hosts, aplicaciones y datos.

8
  Políticas y procedimientos:
Al igual que las normas y procedimientos que se establecen en una compañía a nivel de
gestión humana, comportamiento y deberes, también se deben establecer políticas y
procedimientos para el manejo de la información enfocado a la seguridad. De igual forma
estos procedimientos deben comunicarse a toda la organización de forma que se puedan
entender y aplicar fácilmente.

 Seguridad Física:
Comprende todas aquellas medidas para que un atacante no tenga acceso físico a los
equipos e infraestructuras de red de una compañía u organización. Todo esto con el fin de
establecer una barrera física.

 Perímetro:
El perímetro comprende el conjunto de todos los puntos de una red interna conocida, la
cual es gestionada por la organización. Dicha red interactúa con redes externas y es aquí
donde la seguridad perimetral juega un papel fundamental implementando todos aquellos
controles a través de dispositivos o herramientas como firewall, DMZ, VPN, entre otros.

 Defensa de Red:
Consiste en proteger la red de posibles intrusiones en las que un atacante puede ver
información importante o incluso modificarla. Existen sistemas de detección de intrusiones
y de prevención de intrusiones que han sido desarrollados y buscan prevenir e identificar
accesos no autorizados a la red.

 Defensa de equipos o Hosts:

Son las medidas que se aplican directamente en los equipos en busca de protegerlos de
vulnerabilidades y posibles ataques. Comprenden la instalación de parches de seguridad,
desactivación de servicios que no se utilizan y que pueden tener puertos de red
expuestos, instalación de antivirus y antimalware, habilitación de firewall sobre los equipos
de red y restricción de uso de aplicaciones.

 Defensa de aplicaciones:
Son todas aquellas medidas de autenticación para realizar un eficaz control de acceso a
los usuarios.

 Defensa de Datos:
En la actualidad existen herramientas de protección de datos que básicamente hacen un
cifrado de los mismos, y mediante un proceso de autenticación y autorización, restringen
el uso a personas no autorizadas.

9
 5. ANÁLISIS DEL DESARROLLO DEL PROYECTO

5.1 CICLO DE MEJORA CONTINUA

Se plantea la implementación de un ciclo de actividades continuas denominado PHVA

(planear-hacer-verificar-actuar) en ingles PDCA (Plan -do-check-act), independientemente
de la sigla su objetivo es el mismo, hacer parte de un sistemas de gestión de la seguridad
informatica, el cual se busca realizar un monitoreo constante de las actividades que se
realizan dentro de la organización y que permiten la detección temprana de los riesgos,
software deficiente u obsoleto, entrenamiento oportuno y apropiado para cada cargo en la
organización entre muchas cosas más.

Para el caso de Cross Border Technology se sugiere esta herramienta de uso

fundamental que potencializara sus servicios sin dejar de lado los niveles de seguridad
para sí misma y sus clientes - aliados estratégicos, entre los que contamos con
reconocidas entidades como son: Servientrega, Banco Falabella, Asobancaria, Ministerio
de industria y comercio, Alpina entre otros.

Luego de exponer los posibles riesgos a los que se encuentra expuesto Cross Border
Technology en cuanto a los físico, infraestructura y gestión humana, se inicia aplicando el
ciclo de mejora continua en búsqueda de reducirlos a un porcentaje mínimo:
Tabla 3

Riesgos físicos
Inundación en la oficina por falla en la infraestructura del edificio. (Planta de
enfriamiento en el piso 12)
P D C A
Mantenimiento Instalación de sensores Prueba de Registro de eventos
predictivo y de humedad, canaletas funcionamiento de los acorde a los
preventivo de los exteriores y desagües equipos de del sistema cambios realizados
equipos cada 3 en caso de emergencia de desagüe de en caso de
meses en el piso 12 emergencia cada 6 incidente y prueba
meses de 6 meses
Pérdida de acceso a la oficina por derrumbe u otros factores externos. (Edificio cerca
de una montaña)
P D C A
Respaldo de la Contrata un servicio de Validar con el IDIGER y Validación por
informacion en póliza contra desastres su Sistema Distrital de parte del personal
servidores en la nube naturales, que incluya Gestión de Riesgos y especializado en
y pólizas en caso de pruebas de peritazgo Cambio Climático si ha caso de temblores
desastres naturales para la estructura y los habido anomalías, que puedan afectar
que amparen los equipos la estructura
equipos
Falla o degradación del servicio por sobrecalentamiento en el cuarto de equipos
P D C A
Instalación de un Validar con expertos en Verificar si el cooler Pruebas de
cooler system que normatividad RITEL y system ayuda en la eficiencia de los
por normatividad RETIE evitando la reducción de la dispositivos
eléctrico y de obtención de una temperatura del instalados y en los
telecomunicaciones sanción en caso de espacio al que fue equipos
de encontrarse en siniestro, por no contar destinado, en la refrigerados
dicho espacio con el cooler system eficiencia de los
equipos
Indisponibilidad de servicio por falla energía eléctrica en cuarto de equipos. (Falla
encendido plata eléctrica edificio superior a 15 min lo que dura la UPS del cuarto de
equipos)
P D C A
Determinar la Verificar que los KVA, Luego de instalada Validar en el
potencia de los autonomía en tiempo y hacer pruebas de registro de los
servidores y equipos en la red electrica de la funcionamiento y equipos y la UPS
de uso vital para la UPS correspondan a los validar la instalación los bajones de
organización y a si requerimientos de los que deberá ser online o energía y
adquirir un UPS equipos, revisar en su defecto por suspensiones y de
online que brinde protecciones e bypass esta manera
respaldo únicamente instalación que deberá identificar su
a los sectores ser trifásica conforme eficiencia, de lo
primordiales al requerimiento contrario de se
deba aumentar la

11
 cantidad de
baterias
Intrusión o acceso forzado instalaciones y sistemas de información
P D C A
Identificar las fallas Instalación de puertas Verificar posibles En caso de fallas
del sistema de de seguridad y alarmas intrusiones parciales o modificar el
seguridad actual, con CCTV, totales a las esquema de
requerimientos de monitoreadas las instalaciones de la seguridad y los
software y personal 24horas organización protocolos de este
especializado
Acceso no autorizado (oficinas, edificio, sala, centro de cómputo).
P D C A
Creacion de un Instalación de sistemas Verificar si se generó la Tomar medidas
protocolo tipo biométricos o de restricción al acceso, correctivas, cuando
castillo medieval que proximidad que mediante el cctv y el las tarjetas de
defina varios niveles restrinjan en acceso a registro de visitantes proximidad abran
de seguridad, que todas las dependencias del sistema. Adicional si todas las puertas y
vaya desde la puerta de la organización el protocolo fue no solo las que se
principal hasta las teniendo en cuenta eficiente han autorizado, y
oficinas que entradas principales y los casos en los que
contienen de emergencia. el personal
informacion sensible Capacitar el personal al desobedeció las
respecto. ordenes

Riesgos de Infraestructura
Pérdida de integridad y disponibilidad por cobertura insuficiente en el CCTV del cuarto
de equipos. (Sabotaje corporativo)
P D C A
Revisar el esquema Reconfigurar el Supervisión por parte En caso de falla del
jerárquico de acceso esquema de acceso, del coordinador de esquema
a las dependencias generar restricciones, ciberseguridad de la jerárquico y las
con informacion lo anterior al personal, organización si las modificaciones por
sensible instalar software para medidas correctivas posible espionaje,
modificación de fueron eficientes realizar rotación de
contraseñas cada 3 personal a través
meses y encriptación de la empresa de
continua contratación
Retrasos en las actividades operativas o incumplimiento contractual, debido a la
pérdida de información almacenada en los equipos de cómputo por fallas de
hardware o software.
P D C A
El equipo del area de Se realizarán Verificar el Solicitar a help
Help Desk debe mantenimientos, cumplimiento del Desk aumentar la
realizar predictivo, preventivo y cronograma por parte frecuencia de
mantenimientos a correctivo de hardware del equipo de help mantenimiento y
todos los equipos de y software de manera Desk, mediante sus de bajas en caso de

12
manera sistemática y programada a través de registros, hojas de vida requerirlo
programada un calendario de de equipos, bitácora y
actividades máximo demás documentación.
cada 3 meses
Interrupción total o parcial en las actividades de la Compañía debido a explotación de
vulnerabilidades conocidas en el software.
P D C A
Destinar un Disponer de un Inspeccionar mediante Si aún se presentan
segmento de conjunto de equipos el equipo de fallas en equipos
equipos para la tecnológicos de ciberseguridad la fuera del area de
validación de diferente naturaleza en efectividad del espacio pruebas, verificar
vulnerabilidades un espacio restringido restringido para los los niveles de
para realizar las equipos seleccionados seguridad de toda
pruebas de sin afectar las demás la organización y
vulnerabilidades dependencias seguir el protocolo
Interrupción parcial de las actividades por degradación del servicio Wifi en la oficina.
P D C A
Validar los verificar si las Hacer pruebas de Si se realizan los
diferentes servicios conexiones, redes y velocidad de internet cambios de
incluyendo el de access point son los en los nuevos dispositivos y de
internet del adecuados, para la dispositivos verificando red sin obtener
proveedor cantidad física de su eficacia, al estar cambios se sugiere
equipos instalados que ajustada a su vez la red, el cambio de
requieren conectividad, de lo contrario operador de
cambio de dispositivos aumentar la velocidad servicios de
o configuracion de la de la red internet
red
Ataques a la infraestructura tecnológica o vulneración del Sistema Operativo debido a
la ausencia de un proceso de aseguramiento
P D C A
Diseñar un Implementar una Auditar los procesos a Cambiar a una
mecanismo de metodología y sistema los cuales los afectan metodología más
proteccion y de gestión del riesgo en las políticas exigente y
respaldo para la la seguridad de la implementadas nuevamente
compañía en caso de informacion y un mapa auditar los
eventualidades de calor que permita procesos
interpretar la cantidad
de fallas, junto con un
programa de auditoría
interna
Falla en los canales de internet correspondiente a los proveedores críticos de los
canales VPN ETB y CLARO
P D C A
Validar los verificar si las Hacer pruebas de Si se realizan los
diferentes servicios conexiones, redes y velocidad de internet cambios de
incluyendo el de access point son los en los nuevos dispositivos y de

13
internet del adecuados, para la dispositivos verificando red sin obtener
proveedor cantidad física de su eficacia, al estar cambios se sugiere
equipos instalados que ajustada a su vez la red, el cambio de
requieren conectividad, de lo contrario operador de
cambio de dispositivos aumentar la velocidad servicios de
o configuracion de la de la red internet
red
Uso de contraseñas con un solo factor o método de autenticación que hace que sea
más fácil el acceso, cuando lo idea es implementar las que sean de múltiple factor
para autenticación.
P D C A
Implementación de Realizar la instalación Verificar si se han Los equipos que no
software y de software realizado los cambios cumplan con lo
configuraciones para especializado para y en contraseñas por descrito entraran
estructurar configuraciones para parte del equipo de en mantenimiento,
contraseñas de estructurar ciberseguridad verificación de
múltiple factor contraseñas de posibles fallas y
múltiple factor que vulnerabilidades
cambien cada 3 meses
Fraude financiero a través de la falsificación de firmas, sellos, credenciales y
autorizaciones por parte del personal del area encargada del manejo del dinero
P D C A
Fiscalizar todos los Definir cargos, Revisar ante entidades Se auditará todo el
procesos que jerarquías y protocolos estatales el pago de proceso por parte
involucren en area financiera de impuestos, el uso de de una entidad
movimientos de forma tal que una sola token para manejo de externa en
dinero o que de persona no pueda dinero en las oficinas búsqueda de fallas
cualquier manera tener el control total de las empresa, en el proceso
genere afectación a del manejo del dinero y autorizaciones por
la organización y su los sellos corporativos y escrito para el uso de
personal su uso sin autorización firmas, sellos y
y justificación aprobada credenciales
por la gerencia
Pérdida de información (contenida en documentación física, electrónica o digital).
P D C A
Creacion de sistema El modelo de gestión Validación en los Marcar las áreas,
de gestión de archivo de archivo estará registros de trabajadores o
que permita tener reglamentado por ley informacion si se sectores en los
una copia digital de nacional de forma tal presenta alguna cuales se presentan
toda la informacion que se garantice la falencia además en los mayores
física y un backup de seguridad de la procesos de auditoria incidencias y
la que originalmente informacion que se este será un punto aplicar los
se encontraba en tenga adicional de los fundamental para correctivos
cualquier otro medio respaldos creados y verificar requeridos
sanciones para quien
incumpla

14
 Riesgos de Gestión humana
Fallas en el proceso de vinculación personal nuevo, que no cumple con los
requerimientos en visita domiciliaria, polígrafo y revisión de contenido en CV.
P D C A
Inspeccionar el Contratar una empresa Recursos humanos Gerencia revalidara
proceso de especializada en realizara el la eficiencia de las
contratación de la contratación y pruebas seguimiento a la decisiones tomadas
organización y de personal que empresa de a través de
detectar las falencias garanticen la valides de contratación auditorias
en el mismo por la informacion garantizando la
parte de recursos eficiencia
humanos
Pérdida o divulgación de información confidencial o privada por parte de un
colaborador.
P D C A
Validar contratación Indagar en los registros Verificar si las acciones Realizar los ajustes
y acciones legales en documentales y el correctivos del sistema necesarios al
caso de pérdida o sistema de gestión de de gestión de archivo sistema de gestión
divulgación de archivos verificando surtieron efectos de archivos y en
informacion informacion faltante y contratación en
tomar acciones caso de continuar
correctivas las perdidas
Envió de información a clientes sin cumplir los parámetros de seguridad necesarios.
(Encriptación, discos cifrados o medios magnéticos).
P D C A
Limitar el Crear una política de Verificar en diferentes Auditar la eficiencia
movimiento de informacion para ser etapas de filtros las de la política de
informacion que se le suministrada a los personas y métodos informacion
transmite al cliente clientes con filtros que autorizadas para
eviten la salida de comunicar informacion
informacion a los clientes
confidencial bajo
cualquier método
Divulgación no autorizada datos de clientes. (habeas data)
P D C A
Validación de Crear una política de Verificar si la política Auditar el proceso
políticas y informacion acerca del implementada se está en búsqueda de
normatividad acerca tratamiento de datos cumpliendo a cabalidad posibles falencias o
de habeas data en la de los clientes de la fugas de
organización organización informacion
Los empleados enfadados o resentidos son un riesgo potencial debido a que es difícil
determinar en qué momento cedan informacion, filtren virus o el acceso a los mismos
P D C A
Validación de Crear Contratos con Auditoria y Hacer efectivas las
jerarquías y acceso a cláusulas que seguimiento a los cláusulas descritas
la informacion por garanticen la procesos de en los contratos

15
parte de cada nivel conservación de la contratación y en cada acerca de
de las dependencias confidencialidad de la dependencia a los sanciones por la
con el fin de evitar informacion que se procesos laborales para filtración de
que la informacion maneja en la empresa, detectar posibles informacion y/o ser
sensible llegue a adicional capitación al vulnerabilidades y gestor de riesgos,
personal sin respecto fallas amenazas o
capacitación vulnerabilidades
para la
organización

16
 6. CRONOGRAMA

Por medio de una gráfica o tabla se puede mostrar el tiempo que tomó el
desarrollo cada etapa de este trabajo.

Cronogramar Inicio Final

Revisar la guía 15 de febrero 23 de febrero
Escoger el Rol 24 de febrero 1 de marzo
Identificar la Empresa 2 de marzo 8 de marzo
Diagnóstico de Seguridad Informática Interno y Externo 9 de marzo 15 de marzo
Objetivos Estratégicos de la Compañía 16 de marzo 22 de marzo
Definición del Modelo de Seguridad informática 23 de marzo 25 de marzo
Entrega de documento 26 de marzo 27 de marzo

Figura 1. Diagrama de Gantt

Figura 2. Lista de tareas

 CONCLUSIONES

 Basados en el levantamiento de información realizado, se logró identificar las

amenazas internas y externas a las cuales está sometida la empresa
seleccionada, con lo cual se identificó un modelo de seguridad que viable para su
aplicación.
 Las características de los modelos de seguridad son similares, aunque los pasos
de su aplicación cambian según la metodología o el enfoque analizado, por lo
cual se seleccionó el modelo de seguridad en profundidad para abarcar cada una
de las áreas de la empresa seleccionada.
 Se identifica que el nivel se seguridad y la inversión realizada cumplen con los
requerimientos de seguridad para una empresa que se desarrolla en el sector de
la consultoría y ciberseguridad.
 BIBLIOGRAFÍA

Gómez, V. Á. (2014). Seguridad en equipos informáticos. [en línea], España:

RA-MA Editorial. Páginas (29-34). [Citado 22 marzo de 2020]. Disponible en
Internet https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/detail.action?docID=3229330

Zinatullin, L. (2016). The Psychology of Information Security: Resolving

Conflicts Between Security Compliance and Human Behaviour. Ely, [en línea],
Cambridgeshire: IT Governance Publishing. Páginas (42 – 49) [Citado 22 marzo
de 2020]. Disponible en Internet
http://search.ebscohost.com.bibliotecavirtual.unad.edu.co/login.aspx?direct=true&d
b=nlebk&AN=1161980&lang=es&site=eds-live&scope=site

Baca, U. G. (2016). México: Grupo Editorial Patria. Introducción a la seguridad

informática. [en línea], Páginas (314-341). [Citado 22 marzo de 2020]. Disponible
en Internet https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/detail.action?docID=4849850

McDowell M. (September 27, 2019). Debunking Some Common Myths.

Security Tip (ST06-002) [en línea],, CISA is part of the Department of Homeland
Security. [Citado 22 marzo de 2020]. Disponible en Internet https://www.us-
cert.gov/ncas/tips/ST06-002

NIST (February 28, 2019). Cybersecurity Risks, Cybersecurity Basics. SMALL

BUSINESS CYBERSECURITY CORNER. [en linea], [Citado 22 marzo de 2020].
Disponible en Internet https://www.nist.gov/itl/smallbusinesscyber/cybersecurity-
basics/cybersecurity-risks

Kingori D. (2019). Top 10 Cybersecurity Risks For 2019. Cyber Preparedness,

United States Cibersecurity Magazine. [en linea], © 2020 American Publishing,
LLC™. Páginas (29 -39) [Citado 22 marzo de 2020]. Disponible en Internet
https://www.uscybersecurity.net/risks-2019/

Tyas Tunggal A. (March 12, 2020). What Is Cybersecurity Risk? A Thorough

Definition. [en linea], ©2020 UpGuard, Inc. [Citado 22 marzo de 2020]. Disponible
en Internet https://www.upguard.com/blog/cybersecurity-risk#risk

Zinatullin, L. (2016). The Psychology of Information Security: Resolving

Conflicts Between Security Compliance and Human Behaviour. Ely, [en línea],
Cambridgeshire: IT Governance Publishing. Páginas (42 – 49) [Citado 22 marzo

19
de 2020]. Disponible en Internet:
http://search.ebscohost.com.bibliotecavirtual.unad.edu.co/login.aspx?direct=true&
db=nlebk&AN=1161980&lang=es&site=eds-live&scope=site

Objetivos de la Seguridad informática [en línea], [Citado 22 marzo de 2020].

Disponible en Internet: https://infosegur.wordpress.com/category/1-conceptos-
basicos-de-la-seguridad-informatica/1-2-objetivos-de-la-seguridad-informatica/

IPEA (2017). PDCA, PHVA, Deming o círculo de mejora continua. Mejora

continua. [en línea], INSTITUTO DE PRODUCTIVIDAD EMPRESARIAL
APLICADA, S.L. [Citado 25 marzo de 2020]. Disponible en Internet:
https://www.ipeaformacion.com/mejora-continua/pdca-phva-deming-circulo-
mejora-continua/

Descarga plantillas de Normas Icontec en Word – Gratuitas [en línea], Normas

Icontec, 2020. [Citado 18 marzo de 2020]. Disponible en Internet:
https://normasicontec.co/descarga-plantilla-en-word/ 2020

20