Trabajo Final – Topologías, inventarios y riesgos

Ana Lucía Mesa Garavito – cc 1017140409

Juan Camilo Lujan Acevedo – cc 98708576

Trabajo Final
Sistemas y Metodología de Control de Acceso

Camilo Andrés Ospina

Tutor

CORPORACIÓN UNIVERSITARIA AMERICANA

FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
Octubre de 2020
 2

Contenido

Introducción................................................................................................................................3

Justificación................................................................................................................................5

1. Topología, Inventario Y Riesgo........................................................................................7

1.1 Topología.......................................................................................................................7

1.2 Topologías de la organización:....................................................................................10

1.3 Inventarios...................................................................................................................11

1.4 Riesgos informáticos:..................................................................................................12

2. Riesgos, Controles Y Políticas........................................................................................14

3. Relación con las Prácticas...............................................................................................17

4. Conclusiones...................................................................................................................19

5. Referencias......................................................................................................................20
 3

Introducción

Las organizaciones del siglo XXI se encuentran cambiando constantemente, tienen que

estar a la vanguardia de lo que las dinámicas sociales y económicas van solicitando, son

organizaciones que se tienen que adaptar con facilidad, por tanto, es importante que sus sistemas

de información sean agiles y confiables.

Para una organización es muy importante contar con sistemas fuertes que garanticen la

confidencialidad y custodia de su información, este es un activo fundamental de las compañías,

puesto que sin una custodia adecuada de esta se puede ver afectaciones económicas y legales.

Las organizaciones deben salvaguardar sus activos, para ello existen muchos mecanismos

de seguimiento y almacenamiento de los mismos, hoy en día las compañías saben que sus activos

no solo desde los bienes físicos, se le ha dado relevancia a la información intangible como lo son

los datos, por ello sale a relucir la importancia de custodiar y salvaguardar la información de las

empresas, además de evaluar que vulnerabilidades y riesgos pueden impactar tanto los bienes

físicos como intangibles.

Por otro lado, la información actualmente se maneja en red con la finalidad de que todo

sea más ágil y eficiente en las organizaciones, por ello nacen las topologías de redes, estas tienen

la finalidad de interconectar una red de equipos y compartir información en tiempo real haciendo

los procesos más eficientes y dinámicos.

 4

La seguridad de la información es otro factor fundamental en las organizaciones, por

tanto, se hace necesario administrar la misma de forma organizada y planificada. En la historia de

la humanidad se han presentado acontecimientos que han llevado a las organizaciones a

replantearse la administración de su información, un episodio relevante que vale la pena

mencionar fue el de la caída de las torres gemelas en Nueva York, además de este actualmente

estamos viviendo cambios a nivel mundial que impactan todas las esferas, las consecuencias que

una pandemia puede traer consigo afecta a nivel social y económico, ninguna organización

estaba preparada para ello, de aquí se hace fundamental custodiar la información de manera

adecuada ya que la administración de la misma se hace cada día mas compleja gracias a que las

dinámicas empresariales han venido cambiando, por ejemplo el desplazar los lugares de trabajo

de una organización a un apartamento, la información se vuelve más vulnerable, por tanto, es

adecuado establecer unos riesgos que garanticen prever con antelación las dificultades que se nos

puedan presentar.
 5

Justificación

Actualmente las organizaciones han venido adoptando las telecomunicaciones en la

administración de su información, ya que han visto la relevancia que tiene un adecuado manejo

de la misma, además la creciente evolución a nivel tecnológico, los cambios que a nivel social y

económico se vienen presentando, la certeza de acortar distancias por el uso de las TICS, todos

estos factores hacen que las organizaciones se planteen dinámicas diferentes.

Los avances tecnológicos han permitido a la sociedad contar con el uso de servicios que

facilitan la comunicación de manera ágil y eficaz como lo son los correos electrónicos, reuniones

por video, chat en línea, telefonía celular e IP, descargas de archivos en línea, entre otros. En

otras épocas, ni se había llegado a pensar en que todo esto fuera posible, las dinámicas

cambiantes han permitido mejorar y tener avances importantes en las telecomunicaciones. Por lo

tanto, surge las redes de computadores, que permiten la interconexión de las mismas y

transferencia de información más rápidamente.

Como bien lo dicen los señores Sebastián Laborden, Sebastián Ressi y Alvaro Rivor en su

informe final de trabajo de grado que la revolución de la información conmocionó el siglo XX y

XXI, siendo esta una de las revoluciones más relevantes en el transcurso de la historia. Mayor

aún fue el impacto del intercambio de información, posibilitando este contemplar cooperación y

convergencia tanto de tecnologías como de personas.

 6

En un comienzo fueron utilizadas las redes telefónicas para satisfacer la

necesidad de la comunicación de datos. Hoy día esto no es así y se diseñan las redes de

datos considerando desde un comienzo el objetivo del contexto para la cual están siendo

construidas, son más aptas desde su construcción para integrar servicios realizando en

ellas las adaptaciones necesarias teniendo en cuenta la naturaleza de los servicios,

necesidades y tráfico que cursan.

Las redes de datos permiten que las tecnologías surgidas en el transcurso del

siglo pasado y lo que va del presente estén siendo integradas en un proceso constante

hacia un ente común de comunicación. La interconexión de dichas redes está permitiendo

la centralización, concentración y almacenamiento de información dispersa en los

distintos continentes, con el resultado natural de agilizar el trabajo, negocios, comercio y

diversas situaciones u actividades cotidianas.

La tarea de diseñar dichas redes, considerando la integración de diversos tipos de

tráfico y servicios entre otros factores, no es una tarea sencilla en absoluto sino todo lo

contrario, la misma resulta compleja siendo tanto el diseño, el dimensionar la red como

la optimización de ella tareas de difícil resolución. A la complejidad antes mencionada se

suma el lograr que la topología de red escogida supere los parámetros de confiabilidad

deseados para el contexto para el cual está siendo construida.

En la construcción de la red son considerados un gran número de sitios, los

cuales poseen características disímiles, siendo necesario que la interconexión de estos

 7

supere o al menos satisfaga la cota de confiabilidad establecida a un costo mínimo.

[ CITATION Lab06 \l 9226 ]

1. Topología, Inventario Y Riesgo

1.1 Topología

La topología o también conocida como forma lógica de una red la podemos definir como

como la forma de tender el cable a puntos de trabajo individuales; por paredes, suelos y techos de

una estructura. Existe un número de factores a considerar para determinar cuál topología es la

más apropiada para una situación dada. La topología en una red, es la configuración adoptada por

las estaciones de trabajo para conectarse entre sí.

Existen diferentes tipos de topología como lo mencionaremos a continuación:

a. Topología de anillo: Es un tipo de topología de red simple, en donde las estaciones de

trabajo o computadoras se encuentran conectadas entre sí en forma de un anillo, es decir,

forman un círculo entre ellas. La información viaja en un solo sentido, por lo tanto, que si

un nodo deja de funcionar se cae la red o deja de abastecer información a las demás

computadoras que se encuentran dentro del anillo, por lo tanto, es poco eficaz.

[ CITATION Cam \l 9226 ]

 8

b. Topología de árbol: Este tipo de topología de red es una de las más sencillas. Como su

nombre lo indica, las conexiones entre los nodos (terminales o computadoras) están

dispuestas en forma de árbol, con una punta y una base. Es similar a la topología de

estrella y se basa directamente en la topología de bus. Si un nodo falla, no se presentan

problemas entre los nodos subsiguientes. Cuenta con un cable principal llamado Back

bone, que lleva la comunicación a todos los nodos de la red, compartiendo un mismo

canal de comunicación. [ CITATION Cam \l 9226 ]

c. Topología de bus: La topología de Bus se basa en un cable central, el cual lleva la

información a todas las computadoras de la red, en forma de ramificaciones, de modo, que

la información viaja de manera secuencial hacia los nodos de la red. Su desventaja se basa

en su distribución secuencial de datos, por lo que, si se interrumpe el cable central, la red

queda inutilizada. En la actualidad es muy poco utilizada.

 9

d. Topología de estrella: Acá la distribución de la información va desde un punto central o

Host, hacia todos los destinos o nodos de la red. En la actualidad, es muy utilizada por su

eficiencia y simpleza. Se puede notar que el Host realiza todo el trabajo (una especie

deservidor local que administra los servicios compartidos y la información). Por supuesto,

cuenta con la ventaja que, si un nodo falla, la red continuará trabajando sin inconveniente,

aunque depende del funcionamiento del Host. [ CITATION Cam \l 9226 ]

e. Topología de malla: Esta topología de Malla es definida como topología de trama. Se

trata de un arreglo de interconexión de nodos (terminales) entre sí, realizando la figura de

una malla o trama. Es una topología muy utilizada entre las redes WAN o de área amplia.

Su importancia radica en que la información puede viajar en diferentes caminos, de

manera que, si llegara a fallar un nodo, se puede seguir intercambiando información sin

inconveniente alguno entre los nodos.

 10

f. Topología híbrida: Como su nombre lo indica, es una combinación de dos o más

topologías de red diferentes, para adaptarla red a las necesidades del cliente. De este

modo, podemos combinar las topologías que deseemos, obteniendo infinitas variedades,

las cuales, deben ajustarse a la estructura física del lugar en donde estará la red y los

equipos que estarán conectados endicha red.

1.2 Topologías de la organización:

 11

Imagen 1. Topología Sede Principal

Imagen 2. Topología Sede Secundaria

 12

1.3 Inventarios

Las empresas administran diversa cantidad de recursos tecnológicos que día a día se van

acumulando que pueden llegar a considerar una gran cantidad. Lo anterior puede derivar en que

las organizaciones lleguen al punto de contar con muchos recursos que no sepan la cantidad que

poseen de estos, teniendo como consecuencia mal gastos, perdidas económicas y por supuesto

una gran generación de deshechos tecnológicos.

En el artículo inventarios tecnológicos de la revista Cordero informáticos dice que la

diversidad de los recursos a inventario es enorme: servidores, firewalls, routers, ordenadores de

sobremesa, portátiles, móviles, tablests, monitores, teclados, ratones, dock stations, cables,

adaptadores, herramientas, terminales telefónicos, software, entre otros. Estos recursos, además,

pueden estar repartidos por distintas localizaciones geográficas, a veces muy alejadas entre sí

(pensamos en empresas con sedes en distintos países). Por si fuera poco, todo este conjunto de

materiales y tecnologías no es estático, sino que se renueva, se cambia, se queda obsoleto, se

rompe. por tanto, los inventarios deben basarse en un proceso continuo y lo más automatizado

posible. Ante cualquier petición y en cualquier momento se debe responder con un listado

completo, detallado y actualizado de los recursos de la empresa. [CITATION Cor \l 9226 ]

A continuación, se mencionan algunos de los aportes que tiene el administrar un

inventario tecnológico.

1. Determinación de necesidades.

2. Optimización y control de gatos.

3. Gestión de licencias de software.

4. Hallazgo y normalización de licencias piratas.

5. Control de tecnologías obsoletas. [ CITATION Cor \l 9226 ]

 13

1.4 Riesgos informáticos:

A nivel empresarial, las tecnologías de la información juegan un papel fundamental en las

organizaciones, la administración de la información se ha vuelto relevante e importante, de tal

modo que es fundamental generar la identificación de riesgos y controles que permitan prever

que puede suceder al interior de la misma.

Con la finalidad de sustentar lo anteriormente mencionado nos apoyamos en lo que dice la

empresa Atalait quienes indican que la protección de datos y sistemas valiosos en el espacio

digital se ha vuelto sumamente importante. Asegurar los sistemas de las tecnologías informáticas

(TI) en la actualidad requiere defensas externas y educación interna entre el personal de una

empresa. Es indispensable que se logre la coordinación entre todas las funciones empresariales,

incluidos los recursos humanos, la cadena de suministro, la investigación y el área comercial.

[ CITATION Ata \l 9226 ]

 2. Riesgos, Controles Y Políticas

Riesgo Controles Políticas

Acceso no autorizado - Revisión de las políticas de seguridad de la información  Política de control de acceso
- Acceso a las redes y a los servicios de red  Política de protección contra software malicioso
- Tarjetas de acceso  Política de gestión de vulnerabilidades
- Cámaras  Política sobre el empleo de controles criptográficos
- Sensores de movimientos
- Control de huellas
- Controles CASB – NAT – PAM
- Control de nubes
- Establecer Seguridad perimetral
- Control de acceso físico
Fallas en las redes y las - Controles de Red Políticas y procedimientos de intercambio de información
comunicaciones - Seguridad de los servicios de red Acuerdos de intercambio de información
- Separación en redes Mensajería electrónica
- Análisis y especificación de los requisitos de seguridad Acuerdos de confidencialidad y de no divulgación
- Aseguramiento de los servicios de aplicación en las redes Política de desarrollo seguro
públicas Procedimiento de control de cambio del sistema
- Transacciones en línea Revisión técnica de aplicaciones después de cambios de las
plataformas operativas
Restricciones a los cambios en los paquetes de software
Principios de la ingeniería de Sistemas Seguros
Ambiente de desarrollo seguro
Desarrollo subcontratado
Pruebas de seguridad del sistema
Pruebas de aceptación del sistema
Mal uso de los activos Inventario de activos Política de uso aceptable de activos
de la institución Propiedad de los activos
Uso aceptable de los activos
Devolución de activos
Clasificación de la información
Etiquetado de la información
Manejo de los activos
Traslado de soportes físicos
Perdida de la Generar copias de seguridad periódicas  Política de copia de seguridad
 15

información Establecer procedimiento de custodia de la información  Política de transferencia de información

Revisión periódica a los equipos informáticos para garantizar que la  Política de privacidad y protección de la
información contenida en ellos este. información personal identificable
Acción virus Instalación de antivirus  Política de protección contra software malicioso
informáticos Actualizaciones regulares  Política de gestión de vulnerabilidades
Revisar las fuentes de los datos
Cuidado al instalar un software nuevo
Copias de seguridad regulares

Información tomada de [ CITATION ISO \l 9226 ]

 3. Relación con las Prácticas

El presente trabajo se relaciona con la materia Sistemas y metodología de control de acceso

con los siguientes elementos:

 Poner en practica los conceptos vistos en clase, la teoría es importante en un proceso de

aprendizaje, pero si no va articulado a componentes prácticos es difícil interiorizarlos.

 Las practicas nos permitieron afianzar los conocimientos frente a el fortalecimiento de los

protocolos de seguridad los cuales son reglas que gobiernan dentro de la transmisión de

datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad,

autenticación y el no repudio de la información. [ CITATION wik \l 9226 ]

 La administración de la información por redes es un elemento fundamental ya que es una

buena practica al momento de salvaguardar la información, además que vuelve mas

efectivo el trabajo en las organizaciones.

 El análisis de vulnerabilidades nos permite analizar aspectos críticos de infraestructura en

las plataformas de información tecnológica, para detectar diferentes tipos de

vulnerabilidad que pueden ser propensos a ataques de ciberdelincuentes, esto lo pudimos

conocer con la temática vista en clase, además de colocarlo en práctica.

 Algo que también nos mostró las practicas realizadas vistas en clase fue la exposición de

servicios tanto a nivel interno como externo.

Finalmente es importante dejar claro que se deben conocer muy bien los componentes a

trabajar al momento de establecer protocolos de seguridad, ya que si no se establecen buenas

barreras en los sistemas estamos propensos a recibir ataques informáticos, lo que conlleva a
 17

perdida de información, lo que se deriva en afectaciones económicas y legales para la

organización.
 18

4. Conclusiones

 En la organización los controles son importantes puesto que ayudan a la contención de

fraudes cibernéticos, por tanto, se están evitando perdidas de información y posibles

afectaciones económicas y legales.

 La protección de activos es fundamental en las organizaciones puesto que se utilizan para

la destrucción o corrupción de información.

 Establecer protocolos de seguridad ayuda a que las organizaciones trabajen de manera

seguirá y garantizando que la información no se va a perder, y en caso de sufrir

vulnerabilidades, se puedan manejar adecuadamente.

 La gestión de los riesgos en una organización es fundamental, esto permite prever

posibles afectaciones económicas y legales.

 El presente trabajo nos permitió afianzar los conocimientos vistos en clase, además de

conocer nuevas políticas para la administración de los riesgos.

 19

5. Referencias

Atalait. (s.f.). Riesgos informáticos en una empresa. https://www.atalait.com/blog/riesgos-

informaticos-en-una-empresa.

Camacho Villegas, C. (s.f.). DISEÑO DE REDES III. Sexto Semestre CII 2018-2019 – UG

Carrera de Ing. Networking y Telecomunicaciones.

Inventarios tecnológicos. (s.f.). Cordero informáticos.

ISO 27001. (s.f.). Obtenido de https://normaiso27001.es/a8-gestion-de-activos/

Laborde, S., Ressi, S., & Rivoir, A. (2006). Diseño de Topologías de Red Confiables.

wikipedia . (s.f.). Obtenido de https://es.wikipedia.org/wiki/Seguridad_de_la_informaci

%C3%B3n#:~:text=Los%20protocolos%20de%20seguridad%20son,Criptograf

%C3%ADa%20(Cifrado%20de%20datos).