Está en la página 1de 10

ACTIVIDAD EJE 3

SGSI (information security management system, ISMS)

ESTUDIANTES

JOHNNATHAN VELASQUEZ VELASQUEZ

JORGE LEONARDO GONZÁLEZ MOSCOSO

EDWIN ALEJANDRO ACUÑA RODRIGUEZ

DOCENTE: JENNY ARCOS

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA.

INGENIERÍA DE SISTEMAS

2020
Tabla de contenidos

Contenido

1. Elaborar un análisis de las vulnerabilidades de una red informática


preferiblemente empresarial, incluyendo topología y cantidad de
equipos conectados.

2. Analice las posibles amenazas que puedan llegar a afectar el


funcionamiento de la red seleccionada

3. Desarrolle la identificación de por lo menos 10 de los riesgos de


seguridad informática (de acuerdo a la ISO 27005 y a la Guía 7 del
ministerio de TIC), en donde se relacionan dos actividades de
mitigación del impacto por cada riesgo identificado.

4. Conclusiones

5. Bibliografía
INTRODUCCIÓN

Con el presente trabajo pretendemos observar, identificar , comparar , y relacionar como las
empresas y sus sistemas están expuestos a sin fin de factores externos e internos para
afectar su operatividad y continuidad.
Nosotros como miembros del departamento de TI debemos tener claro los planes de acción
para mitigar o minimizar este tipo de factores o ataques a la compañía, pequeña o mediana
empresa, garantizando la continuidad de su labor.

Parte de este trabajo es tener nociones para identificar amenazas y vulnerabilidades en una
topología de red, o como en este caso en un ámbito productivo de nuestras respectivas
empresas o como función en caso de que queramos auditar algún proyecto, otro
fundamento es aprender a identificar y caracterizar cada uno de los modelos en base a las
guías de los entes gubernamentales para realizar una auditoría del sistema al margen de
las leyes y consideraciones nacionales e internacionales.
OBJETIVOS

- Reconocer las diferentes amenazas e incidentes en una topología de


red en uso de las normas ISO 27005 y Guia MinTic.

- Relacionar el uso de diagramas lógicos en pro de tener una idea, más


clara respecto a la topología de la red.

- Poner en práctica lo visto en este eje, como guía para el ámbito


productivo al momento de realizar las verificaciones.

- Identificar como en la cotidianidad se puede aplicar el uso de un


sistema de gestión de la seguridad informática.
1.Elaborar un análisis de las vulnerabilidades de una red informática
preferiblemente empresarial, incluyendo topología y cantidad de
equipos conectados.

Desarrollo:

Deseamos con este diseño de la topología, identificar el impacto y el análisis de


vulnerabilidades con mayor relevancia en un Sistema de información (Servidores,
programas y distribución) de una oficina en este ejemplo de Servientrega, el producto
deseado está relacionado a las vulnerabilidades y estrategias de solución.

La base de esta arquitectura de red parte de la identificación y relacionamiento de los


equipos de comunicaciones que envían los datos y transportan los datos intercambiados
buscando ataques y vulnerabilidades fisicas y logicas que desencadenan en situaciones
iniciales de accesos no autorizados hasta un robo o un ransomware que termine robando
información de la organización.
2.Analice las posibles amenazas que puedan llegar a afectar el funcionamiento
de la red seleccionada

Revisando la topología anterior y en función a los posibles incidentes de seguridad que esta
pueda presentar se identifica en la arquitectura punto desde la red WAN, La red
Inalámbrica, el enrutamiento entre redes o la funcionalidad de tráfico multicast ya que estos
son objeto de los atacantes para vulnerar los sistemas.

Otro fundamento de cara a la WAN es si la sucursal cuenta con servicios publicados en


internet (NAT) lo cual puede dejar puertos TCP / UDP abiertos generando si el servicio en
mención presenta bugs, termine desencadenando accesos no autorizados o DDoS en los
servicios que salen a internet.

Revisando sigilosamente otro factor que puede conllevar al atacante es el robo de


credenciales o desciframiento de la contraseña Wi-Fi si esta usa valores que no son
alfanuméricos o el equipo no provee correcciones a fallas en la autenticación
(Vulnerabilidad KRACK y Kr00k) que afectan a este tipo de redes.

Una alternativa para cifrado de la información y en función de cifrar los datos que viajan en
las diferentes capas, se puede hacer uso del estándar IEC 62351 que relaciona el uso de
TLS para enviar tráfico en tramas protegidas (TLS: Transport Layer Security ) protegiendo
de los ataques conocidos.

Para tráficos multicast y broadcast incluyendo los del DHCP de la red, se puede realizar
correcciones en equipos de core (Router y Switch) para evitar el spoofing y suplantación en
la capa física de estos, en priori de que un equipo atacante reciba esta información y
ocasione un colapso de red, adicional el uso de sistemas de IDS / IPS para factor mitigante
de la red.

En caso de existir puertos de red que no se deshabilitan cuando no están asignados, si un


atacante obtiene acceso al rack donde esta alojado el Sw puede acceder a la red de
empleados y en base a este robar información o suplantar equipos para poder denegar el
acceso a la red a las pc legítimas.

3.Desarrolle la identificación de por lo menos 10 de los riesgos de seguridad


informática (de acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en
donde se relacionan dos actividades de mitigación del impacto por cada
riesgo identificado.

● Sistemas operativos vulnerables y sin actualizaciones : Mantener actualizado el


sistema operativo , nos permitirá mitigar amenazas ante cualquier tipo de ataque , un
software sin actualizar proporciona una puerta abierta para que los ataques de los
ciberdelincuentes. ISO 27005.
● Tecnologías Obsoletas: El cambio de equipos y programas como inversión y no
como gasto, se verá reflejado en las ventajas al utilizar tecnología actualizada para
la mejora de los procesos.ISO 27005.

● identificación de amenazas : amenazas con potencial de causar daños a activos


como información , procesos y sistemas y, por lo tanto, a la organización. pueden
ser de origen natural o humano y podrían ser accidentales como deliberadas. estas
amenazas se deberían identificar genéricamente y por tipo (acciones no
autorizadas, daño físico , fallas técnicas) Guía 7 del ministerio de TIC

● Identificación de controles existentes: es necesario conocer los controles


existentes para evitar trabajo extra y costos innecesarios.
Estos controles se planifican para implementar acuerdos con los planes de
implementación de tratamiento de riesgo.
Un control existente planificado se califica como ineficaz, insuficiente o injustificado,
este se debe revisar y determinar si se elimina o reemplaza por otro más adecuado.
Guía 7 del ministerio de TIC

● Uso de Software falso o copiado: Las empresas de software realizan auditorías e


inventarios de todo lo instalado y en base a ello pueden solicitar pruebas de
licenciamiento.Guía 7 del ministerio de TIC

● Criterios de Impacto: Se recomienda desarrollar criterios de impacto del riesgo y


especificarlos en término de grado o de costos para la entidad. Guía 7 del
ministerio de TIC

● Identificación de las vulnerabilidades:Para la correcta identificación de


vulnerabilidades es necesario conocer las amenazas comunes, lista de inventario de
activos y listado de controles existente Guía 7 del ministerio de TIC

● Identificación de las consecuencias: Aquí se deben identificar los daños o las


consecuencias para la entidad que podrían ser causadas por un escenario de
incidente. Un escenario de incidente es la descripción de una amenaza que explota
una vulnerabilidad determinada o un conjunto de vulnerabilidades relacionadas a un
activo.
● Arquitectura insegura de la red: Posibles interceptaciones de terceros en la
estructura de la red y puede conllevar a Espionaje Remoto; una de las maneras de
prevenir este riesgo es cifrar las comunicaciones correctamente.

● Gestión inadecuada de la red (tolerancia a fallas en el enrutamiento) conlleva


saturación del sistema de información y a su vez caídas e intermitencia en los
servicios mal configurados del enrutamiento; una forma de prevenir este tipo de
riesgo es configurar minuciosamente paso a paso los dispositivos sin pasar por alto
ningún aspecto.

● Conexiones de red pública sin protección: este tipo de riesgo es muy frecuente
en cualquier compañía ya que al dejar una brecha de seguridad como esta conlleva
al uso no autorizado de alguno de los equipos; es allí donde debemos buscar la
manera de cifrar cualquier red inalámbrica que se maneje en el lugar.

Conclusiones

- Parte de este ejercicio nos permite identificar y crear nociones básicas para que en
un ámbito productivo se pueda relacionar e identificar amenazas y vulnerabilidades
en pro de crear estrategias de mitigación para estas.

- Con este eje logró aplicar más conceptos a mis labores debido a que en estas a
veces se requiere identificar en reportes posibles falencias y usando la norma ISO y
la guía del mintic permite fundamentar estos y brindar la atención oportuna según la
criticidad del incidente.

- Nosotros como grupo, mejoramos nuestro conocimiento y refrescamos definiciones


previamente adquiridas, como el hecho de hacer una topología de red en packet
tracert del cual ya habíamos olvidado cuestiones.

- Gracias a este eje como grupo también mejoramos la percepción que teníamos del
mintic, ya que uno no considera que ellos planteen guías de usabilidad y manejo de
incidentes para los escenarios de la seguridad informática
Bibliografía.

E. (2020, 29 junio). ISO 27005 para la Gestión de Riesgos de Tecnologías de la


Información. EALDE Business School. https://www.ealde.es/iso-27005-gestion-de-riesgos/

Ministerio de las TIC - MinTIC. (2018, 19 diciembre). Modelo de Seguridad - Fortalecimiento


TI. Modelo de Seguridad - Fortalecimiento TI. https://www.mintic.gov.co/gestion-
ti/Seguridad-TI/Modelo-de-Seguridad/

Simpson, A. (2020, 6 junio). ISO 27005. Análisis y gestión de riesgos.Ciberseguridad | eC.


en Colaboración | Ciberseguridad, Continuidad de Negocio y Calidad.
https://www.encolaboracion.net/ciberseguridad/iso-27001/iso-27005/

Toro, R. (2017, 5 enero). ISO 27005: ¿Cómo identificar los riesgos? PMG SSI - ISO 27001.
https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/

CONPES 3701. (2011). Lineamientos de Políticas Para la Ciberseguridad y Ciberdefensa en

Colombia.

ISO/IEC. (s.f.). Guía 73 Gestión de riesgos, directrices de uso y normas.

ISO/IEC 13335-1. (2004). Gestión de la Seguridad de las Tecnologías de la Información y la

comunicación.

ISO/IEC 13335-4. (2000). Directrices para la gestión de la seguridad.

ISO/IEC 17799. (2005). Técnicas de seguridad- Código para la práctica de la gestión de

seguridad de la información.

ISO/IEC 22301. (2012). Sistema de Gestión de Continuidad del Negocio.


ISO/IEC 27001. (2005) SGSI: Sistemas de Gestión de la Seguridad de la Información,
Asociación española de Normalización y Certificación.

ISO/IEC TR 18044. (2004). Gestión de incidencias de Seguridad de la Información.

OCDE. (2016). Directrices para la seguridad de los sistemas y redes de información. Hacia

una cultura de la seguridad. Paris: OCDE.

MINTIC. (2016). Gestión de incidentes de Seguridad.

Reina, E., y Morales, J. (2014). Análisis de Normas Internacionales ISO/IEC 27000 para
Gestionar el riesgo de Seguridad de la Información. Universidad Tecnológica de Pereira.

TechNet. (2016). Respuesta a incidentes de Seguridad, Microsoft.