PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

LABORATORIO N02 – ELEMENTOS VULNERABLES EN UN SISTEMA INFORMATICO

EJERCICIO 1 (Valor 2.1 puntos)

Responde los siguientes interrogantes:

a.- El PC que utilizas a diario en tus labores empresariales, tiene un antivirus instalado. ¿Esto
lo hace invulnerable?

 No, ya que por más que un antivirus este galardonado con el AV-Test,
muchos son vulnerables dado que sus actualizaciones en ocasiones toman
tiempo. O el administrador del AV puede tener falencias para tenerlo
apunto.

b.- Un incendio fortuito destruye completamente todos los recursos de una biblioteca. ¿En qué
grado crees que se verían comprometidas la integridad, la confidencialidad y la disponibilidad
de la información?

 Tras el incendio, se verían afectados Integridad, porque al ser físicos se

quemaron y disponibilidad, estaría en la misma razón ya no hay libros
(Físicos) que consultar.

c.- En algunos escenarios, en ocasiones prima más el elemento confidencialidad, en cambio en

otros más el de integridad. Por ejemplo; si analizamos el sector militar, es muy importante para
ellos la confidencialidad de la información vs la integridad de la misma (es claro, que ambos
elementos son importantes, pero en cualquier sistema, siempre tendremos prioridad por alguno
de ellos). Con base en el ejemplo, describe un ejemplo en donde prime más el concepto de
confidencialidad vs el de integridad o viceversa.

 Para el caso de Integridad vs Confidencialidad: creería que un Call center, ya

que para ellos tener disponible una llamada o la grabación es muy
importante, más que sea confidencial, tal como se ha visto con la llamada de
la Sra. desesperada maldiciendo al agente.
 En el caso viceversa; diría que un banco, ya que mantener segura la
información de un cliente es primordial mientras que la integridad de la
información “pasaría a ser relevante” ya que con el tiempo de puede
modificar según el cliente o las normas del banco.

EJERCICIO 2 (Valor 2.9 puntos)

El hospital “La Mano de Dios”, es una entidad que viene desarrollando sus actividades durante
los últimos cinco (5) años. Usted ha sido contratado por las directivas del Hospital puesto que
estos, se sienten muy preocupados debido a que han invertido mucho dinero en materia de
seguridad, pero se sienten frustrados al no tener resultados positivos.

Durante una entrevista, el director del Hospital ha hecho mención de los siguientes hechos:

a.- El área de seguridad depende del área de redes.

b.- Al parecer nunca alcanza el dinero que se solicita para inversiones en el área de seguridad.

c.- Los usuarios de los sistemas de información, tienen la sensación de que nunca los han
tenido en cuenta para los temas referentes a la seguridad.

d.- Se ha disparado el gasto de inversión en equipos como firewalls, licencias de antivirus,

detectores de intrusos, entre otros.
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

e.- Parece ser que los equipos adquiridos no han sido efectivos puesto que se han presentado
varios incidentes de seguridad durante el último año, en el cual es donde se ha incrementado el
gasto en equipos de seguridad.

f.- Un auditor externo, en alguna ocasión manifestó que no vio ningún procedimiento operativo
de seguridad.

g.- Al encargado del área de redes, no se le aprueban los proyectos dado que el lenguaje que
utiliza es muy técnico.

Con base en el escenario anteriormente planteado, responda los siguientes interrogantes:

1.- ¿Podría usted, brindar algunos consejos al director del Hospital en materia de seguridad?

Si ingreso como un tercero o contratista

 Como primera medida, revisaría el perfil o perfiles de los administradores o

ingenieros del área de redes, esto con el fin de poder saber que tanto
conocimiento tienen sobre el manejo de los dispositivos y aplicativos que se
tienen en el hospital. Ya que se ha visto que lo que tienen no es efectivo y
no tiene un procedimiento para hacer correcciones o prevenir los eventos. lo
que indica que no el área tiene falencia en la administración de los equipos.
Con esto ya tendría algún consejo de si debe o no cambiar el personal.
 Si los equipos tienen soporte por un tercero los llamaría para que validen y
coloquen apunto las maquinas, si no lo tienen y si son equipos conocidos
trataría de realizarles una auditoria para validar que tan expuestos están, si
no buscaría una persona para que lo revise y me indique su punto de vista. Y
así realizaría el informe con las falencias y sus correcciones a realizar.
 Validaría las políticas y procedimientos que se tienen para saber si están
alineados a alguna norma o si están dejándolo en las manos de los de IT.
 Como consejo importante indicaría que las áreas de seguridad de la
información y redes, no deben depender una de la otra, pero el área de
redes si debe poner cuidado a lo que indique el área de seguridad ya que su
función es ser unos “auditores”.
 Indicaría que los líderes de las áreas (redes y seguridad) debe reunirse y
realizar un plan estratégico para que se apliquen la SGSI, y así el líder de
redes pueda exponer sus proyectos y se pueda hacer entender en lo que
quiere.

2.- ¿Qué concepto (confidencialidad, integridad, disponibilidad, autenticidad, no repudio)

considera usted es el más relevante para el Hospital? Justifique su respuesta.

 Ya que es un hospital, diría que lo más importante para ellos es la

disponibilidad, porque es la manera de poder atender a los pacientes. Ya que
se basan en las historias clínicas del paciente.

3.- Describe tres (3) recomendaciones que harías a los empleados del Hospital en relación a:

A. - Respaldo de información
o No guardar información personal, ni música
o (si se tiene) que guarden la información en una carpeta compartida,
con el fin de que se le pueda hacer backup.
o Que a cada documento le coloque una versión, por si realizan alguna
modificación, esto con el fin de evitar que se llegue a sobre escribir o
perder mucha información
B. - correo electrónico
o No abran correos que desconozcan y que informen al área de TI
o Eviten enviar información confidencial que no esté encriptada.
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

o Mantenga el buzón organizado para que les sea más fácil ubicar
cualquier tipo de información

C. - manejo de usuarios y contraseñas

o No utilicen claves relacionadas con familiares.
o No las copien en papeles y las dejen a la vista.
o Jamás presten las credenciales a otras personas.

D. - uso de equipo de cómputo.

o Si se levantan del puesto, en lo posible dejarlo bloqueado.

o Evitar instalar cualquier tipo de programa que no este licenciado y/o

que sea de descarga gratis.
o Cuidarlo ya que es parte fundamental del su trabajo, por lo tanto, no
trate re repararlo por mano propia.