Actividad Evaluativa Eje 3

SGSI (information security management system, ISMS)

Daniel Felipe Vargas Pamplona

Marzo 2021

Fundación Universitaria del Área Andina

Facultad Ingeniería
Sistemas de gestión de seguridad informática
Juan José Cruz Garzón

1
 Tabla de contenido

Introducción ...................................................................................................................................3
Objetivos .........................................................................................................................................4
Análisis de vulnerabilidad de una red informática empresarial ...............................................5
Posibles amenazas que afectan red seleccionada. .......................................................................6
Identifique 10 riesgos DE SEGURIDAD informáticos (de acuerdo a la ISO 27005 y a la
Guía 7 del ministerio de TIC) .......................................................................................................7
Conclusiones ...................................................................................................................................9
Bibliografía o Referencias .............................................................................................................9

2
 Introducción

Las empresas están expuestas a diversos factores que afectan su operatividad, funcionalidad, y
continuidad en el mercado. Estos factores externos o internos pueden llegar
a causar el cierre definitivo de la compañía. Como miembros del departamento de TI
debemos apuntar a generar planes de acción que mitiguen o minimicen los efectos de
los factores que ataque la compañía, garantizado un plan de continuidad que apalanque la gestión
del negocio. El SGSI es el proceso sistemático, protocolizado y es manejado por aquellos
miembros de la empresa que garantizan la confiabilidad de la información de esta.

3
 Objetivos

El objetivo de esta tarea es que el estudiante pueda poner en práctica los conocimientos adquiridos,
detectando riesgos, amenazas, vulne-rabilidades y generando un plan de gestión del negocio

4
 Análisis de vulnerabilidad de una red informática empresarial

Según el análisis de vulnerabilidad realizado a la empresa Carvajal Tecnología y Servicios,

realizado a la red informática es el siguiente:

- Topología
o Entendiendo que es topología

5
 Encontramos dos tipos de topologías:

o Lógicas: Funciones de red, describe la forma en la que se trasmiten la voz y datos

de un punto a otro.
o Físicas: Es el diseño físico real y de una red, las mas usadas regularmente son
de bus, de anillo, en estrella, estrella extendida, jerarquía y en malla.

- Cantidad de equipos conectados

En la empresa Carvajal existe una totalidad de 200 equipos conectados en red

Posibles amenazas que afectan red seleccionada.

Identificación de las amenazas: buscar información sobre las amenazas y sus orígenes. Generar
una línea de tiempo de exposición al riesgo y a sus transformaciones tecnológicas.

Identificación de las vulnerabilidades: relacionar las amenazas con los riesgos para determinar la
vulnerabilidad. Debe identificarse en cada una de las dependencias de la organización y en cada
uno de los pasos de los procesos de gestión.

6
Entre las muchas amenazas que existes presentes en la red hoy en día hablamos de virus y
malwares de muchos tipos, paginas fraudulentas, también nos pueden atacar equipos físicos,
piratas informáticos teniendo objetivos diversos, ya que pueden robar las credenciales,
provocando un funcionamiento malo o el robo de nuestros datos personales, memorias USB,
cables fraudulentos, extensiones de navegador maliciosos, actualizaciones falsas, bots en
redes sociales.

Identifique 10 riesgos DE SEGURIDAD informáticos (de acuerdo a la ISO 27005 y a la

Guía 7 del ministerio de TIC)

Existen diferentes metodologías para análisis de riesgo de amenazas:

D = Deliberadas
A = Accidentadas
E = Ambientales

Según estas metodologías hay diferentes tipos de amenazas:

Tipo: Daño físico

- Fuego
- Agua
- Contaminación
- Accidente importante
- Destrucción de equipo o medios
- Polvo, corrosión, congelamiento
Eventos Naturales
- Fenómenos climáticos
- Fenómenos sísmicos
- Fenómenos volcánicos
- Fenómenos meteorológicos
- Inundación
Perdida de los servicios esenciales
- Fallas en el sistema de suministro de agua o aire acondicionado
- Perdida de suministro de energía
- Falla en equipo de telecomunicaciones
Perturbación debido a la radiación
- Radiación electromagnética
- Radiación térmica
- Impulsos electromagnéticos
Compromiso de la información
- Interceptación de señarles de interferencia comprometida
- Espionaje remoto
- Escucha encubierta
- Hurto de medios o documentos
- Hurto de equipo
- Recuperación de medios reciclado o desechados

7
 - Divulgación
- Datos provenientes de fuentes no confiables
- Manipulación de hardware.
- Detención de la posición
Fallas técnicas
- Fallas del equipo
- Mal funcionamiento del equipo
- Saturación del sistema de información
- Mal funcionamiento del software
- Incumplimiento en el mantenimiento del sistema de información.

- Relacionar 2 actividades de mitigación de impacto por cada uno de los riesgos

Para poder determinar las actividades de mitigación hay que entender la formula del riesgo.

Dicho de otra manera, evaluar el riesgo es relacionar las amenazas y las vulnerabilidades en
relación con la capacidad de respuesta o de autogestión de la organización que pueden dirigirse
positivamente a la gestión de riesgo:

Formula: riesgo = Amenaza x vulnerabilidad / Capacidad de reacción

Como metodologías de gestión de riesgos tenemos Coras, scrum, mayerik, mejari

8
 Conclusiones

Con el trabajo anterior podemos concluir que se cumple con la actividad propuesta para este eje 3
debido a que se da la solución a cada una de las preguntas planteadas, Se puede destacar que se
han aprendido sobre los sistemas de gestión de seguridad de la información y que la información
y los procesos que la usan son parte de los activos mas importantes de una organización,
permitiendo definir, lograr, mantener y mejorar la seguridad de la información, siendo esencial
para mantener una ventaja competitiva que nos permita alcanzar lograr continuidad y el éxito en
este mercado actual tan globalizado. Esto nos permite tener unos objetivos mas altos y claros.

Bibliografía o Referencias

Panduit, ©Cisco Systems, Inc. (2002), Topologías de red. Recuperado de

https://sites.google.com/site/redesbasico150/topologias-de-red

Mintic (15/12/2010). Guia 7 de gestión de riesgos, seguridad y privacidad de la información.

Recuperado de https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

Javier Jiménez (27 marzo 2021). Cómo funciona el enrutamiento de TOR y cómo te protege
exactamente [Archivo de video]. Recuperado de
https://www.redeszone.net/tutoriales/redes-cable/enrutamiento-tor-proteger-privacidad/