SGSI (information security management system, ISMS)

Javier Jesús Vela Cadena

Fabian Alexis Leudo Ramos
Carlos Alberto Villegas Sanchez

Docente
Jenny Arcos

Marzo 2021

Fundación Universitaria del Área Andina.

Programa de Ingeniería de Sistemas
SGSI
 Tabla de Contenidos

Contenido
INTRODUCCIÓN.................................................................................................................. 3
OBJETIVOS GENERALES Y ESPECÍFICOS........................................................................4
OBJETIVO GENERAL........................................................................................................................................... 4
OBJETIVO ESPECÍFICO..................................................................................................................................... 4
ANÁLISIS DE LA INFORMACIÓN............................................................................................................ 5
LISTA DE REFERENCIAS..................................................................................................14
 INTRODUCCIÓN

Todas las bases de datos que contiene una empresa se consideran como el activo más

importante, esta puede contener datos de clientes el cual fue confiada por ellos y si hay una

pérdida de esta información puede causar que una empresa no tenga la credibilidad requerida

para poder seguir funcionando, por ello la protegen con la mayor seguridad posible.

Siempre hay un riesgo el cual aumenta con el pasar del tiempo, siempre hay alguien que está

buscando de forma permanente las posibles vulnerabilidades que pueda tener la red y así

poder acceder donde se almacene la información.

Por ello hay una dependencia que se encarga de la protección de la infraestructura de las TIC

(generalmente en la empresa se llama soporte y desarrollo), el cual es encargado de estar

siempre vigilantes, actualizando los aplicativos que ayudan a su protección como los

antivirus , firewalls; y validando que sucede en cada terminal identificando posibles acciones

que puedan poner en riesgo la información.

La información se considera protegida si existe la confidencialidad (consiste en que los datos

no serán conocidos por personal, empresas o procesos sin autorización), integridad (la

información será confiable, completa, no alterada), disponibilidad (la información estará

disponible en el momento que se necesite por la entidad autorizada), repudiación (garantiza

que quien genere un evento de forma válida no pueda retractarse, pues se puede probar la

ocurrencia de un evento y quien lo origina). (Lohse, 1985) Como puede evidenciar, la forma

que se maneja la seguridad de la información requiere una gestión integral por procesos, de

los recursos humanos, recursos tecnológicos, leyes y reglamentos, en concordancia con las

metas de la organización. Un sistema que realiza esto se denomina Sistema De Gestión De

Seguridad De La Información, conocido por sus siglas como SGSI. (Carlo 2017).
OBJETIVOS GENERALES Y ESPECÍFICOS

OBJETIVO GENERAL
Poner en práctica los conocimientos adquiridos, detectando riesgos, amenazas,
vulnerabilidades y generando un plan de gestión del negocio.

OBJETIVO ESPECÍFICO

● Identificar las posibles amenazas que puede tener una red informática
● Detectar por donde podría tener posibles fugas de información
● Generar planes de acción que mitiguen o minimicen los efectos de los factores que
ataque la compañía
● Garantizar un plan de continuidad que apalanque la gestión del negocio.
ANÁLISIS DE LA INFORMACIÓN

Matriz

En la matriz de riesgo se clasificaron de la siguiente forma:

Clasificación de riesgo Descripción

Muy Alto(7-9) El riesgo es totalmente inaceptable. Se debe

tomar medidas inmediatas para reducir estos
riesgos y mitigar los riesgos

Alto(5-6) El riesgo es inaceptable. Las medidas para

reducir el riesgo y los riesgos de mitigación
deberían implementarse lo antes posible.

Medio(3-4) El riesgo puede ser aceptable en el corto

plazo. Los planes para reducir los riesgos y
mitigar los peligros debería incluirse en los
planes y presupuestos futuros

Bajo(0-2) Los riesgos son aceptables. Se deben

implementar medidas de reducir aún más el
riesgo o mitigar los peligros junto con otras
mejoras de seguridad y mitigación

Clasificación Descripción Mitigar riesgo

de riesgo

6 Aplicaciones en Utilizar un antivirus que analice todas las

condiciones vulnerables descargas,
Instalar parches de seguridad y
actualizaciones.

5 Sistemas operativos, Adquirir software propietario de manera

vulnerables y sin legal.
actualizaciones Comprobar la compatibilidad con el sistema
operativo

7 Vulnerabilidad de acceso Proteger los puntos de red con filtraciones

 y/o permisos de puntos MAC
Colocar contraseñas más complejas con
diferentes caracteres , números y letras.

4 Introducir memorias USB No abrir ficheros adjuntos sospechosos.

infectadas en las Implementar seguridad de sobrescritura de
computadoras archivos dentro de la usb para que no se
infecte y no infecte equipos.

2 Abrir mensajes Evitar abrir correos de procedencia

sospechosos SPAM desconocida.
Validar que el enlace que tiene sea
reconocida y cuente con un certificado ssl
válido

9 Trabajar en ordenadores No hacer clic en enlaces que resulten

sin antivirus sospechosos.
obtener un antivirus ya sea de licencia o de
código abierto.

3 Fallos electrónicos o Contar con equipos contra fallos eléctricos,

lógicos de los sistemas Tener copias de seguridad al día por cada
informáticos en general equipo en la red.

6 Conexiones de red pública Confiar en la web, pero sin ser ingenuo

sin protección Prácticas básicas de seguridad web.

4 Gestión inadecuada de la Conoce los riesgos asociados al uso de

red (tolerancia a fallas en Internet.
el enrutamiento) Estructuración adecuada entre
comunicaciones de red a través de filtros.

5 Arquitectura insegura de Tener equipos de seguridad apropiados.

la red mantener actualizados los equipos y
sistemas.

9 Corrupción de datos Mantener copias de seguridad de la

información constantemente en caso de que
 la información quede dañada o corrupta.
Utilización de software confiable que pueda
eliminar virus que puedan destruir o
corromper la información.

Identificación de Riesgos.

 Aplicaciones en condiciones vulnerables:

Puede presentar obsolescencia algunas aplicaciones que involucren la información y

el uso de herramientas afectando internamente en la empresa.

Posibles Soluciones

1. Utilizar un antivirus que analice todas las descargas,

2. Instalar parches de seguridad y actualizaciones.

● Sistemas operativos, vulnerables y sin actualizaciones:

Involucra sistemas antiguos que ya no cuentan con soporte técnico por lo que abre
brechas entre la vulnerabilidad y accesibilidad de la información.

Posibles Soluciones

1. Mantener el sistema operativo y el navegador actualizados.

2. Uso de licencia originales del sistema operativo si lo tiene.

● Diseñar aplicaciones y infraestructura inapropiadas, incompletas, con

bugs y errores recurrentes:

Muchas empresas contratan a programadores para realizar aplicaciones que se adapten

a las necesidades de la empresa y si no encuentran a la persona adecuada, puede
realizar un producto que no cumpla con las condiciones de seguridad.
 Posibles Soluciones

1. Adquirir software propietario de manera legal.

2. Comprobar la compatibilidad con el sistema operativo.

● Vulnerabilidad de acceso y/o permisos

La vulnerabilidad de accesos y/o permisos puede suceder cuando se dejan brechas o

puntos abiertos donde gente con intelecto en vulnerar estos medios pueden ingresar:

Posibles Soluciones

1. Proteger los puntos de red con filtraciones de puntos MAC

2. Colocar contraseñas más complejas con diferentes caracteres, números y
letras.

● Introducir memorias USB infectadas en las computadoras:

Cuando se colocan USB en los equipos si este no se filtrar con antivirus o
middlewares podría generar daños de corrupción o dentro del respectivo equipo.

Posibles Soluciones

1. No abrir ficheros adjuntos sospechosos.

2. Implementar seguridad de sobreescritura de archivos dentro de la USB para
que no se infecte y no infecte equipos.
.
● Abrir mensajes sospechosos SPAM:

Es posible vulnerar o capturar información sensible a través de correos y enlaces

maliciosos, y si una persona no conoce e ingresa a este es posible que capturen su
información fácilmente.
 Posibles Soluciones

1. Evitar abrir correos de procedencia desconocida.

2. Validar que el enlace que tiene sea reconocido y cuente con un certificado ssl
válido

● Trabajar en ordenadores sin antivirus:

Cuando no se tiene un antivirus adecuado o ninguno, cabe la posibilidad que un virus

pueda corromper información o equipos de la empresa.

Posibles Soluciones

1. No hacer clic en enlaces que resulten sospechosos.

2. obtener un antivirus ya sea de licencia o de código abierto.

● Fallos electrónicos o lógicos de los sistemas informáticos en general:

Es posible que ante una caída eléctrica pueda generar daños en los equipos o afectar el
proceso que conlleva la empresa.

Posibles Soluciones

1. Contar con equipos contra fallos eléctricos,

2. Tener copias de seguridad al día por cada equipo en la red.

● Conexiones de red pública sin protección:

Cuando no se tiene contraseñas o protección adecuada referente a las redes es posible

el acceso de información bastante fácil y atacar servidores y/o información.

Posibles Soluciones

1. Confiar en la web, pero sin ser ingenuo

2. Prácticas básicas de seguridad web.
● Gestión inadecuada de la red (tolerancia a fallas en el enrutamiento):

Cuando persiste una estructura inadecuada al momento de enrutar entre

comunicaciones abre puntos que se vuelven propensos a vulnerabilidades.

Posibles Soluciones

1. Conoce los riesgos asociados al uso de Internet.

2. Estructuración adecuada entre comunicaciones de red a través de filtros.

● Arquitectura insegura de la red:

Cuando hay puntos de red que son frecuentemente vulnerables y no llevan los
correspondientes filtros necesarios pueden provocar daños importantes en la
estructura de red y datos.

Posibles Soluciones

1. Tener equipos de seguridad apropiados.

2. mantener actualizados los equipos y sistemas.

● Corrupción de datos:

La corrupción de datos puede proceder al mal manejo o errores imprevistos durante la

manipulación o gestión de esta información:

Posibles Soluciones

1. Mantener copias de seguridad de la información constantemente en caso de

que la información quede dañada o corrupta.
2. Utilización de software confiable que pueda eliminar virus que puedan destruir
o corromper la información.
● Tráfico sensible sin protección:

Se debe tener en cuenta la protección del tráfico de información dentro de la

respectiva red puede provocar vulnerabilidades

Posibles Soluciones

1. Tener cuidado con lo que se descarga

2. verificar la información y los sitios de confianza en los equipos
 CONCLUSIONES

Javier Jesus Vela Cadena:

Teniendo en cuenta el desarrollo del presente trabajo, además de las fuentes consultadas tanto
internas como externas, puede concluir la importancia de conocer los principales problemas o
vulnerabilidades que podemos encontrar dentro de una empresa o entorno informático,
además de conocer como debe ser tratadas. Además, es importante conocer los estándares
que gestiona o provee ciertos requerimientos basados en el ISO 27001 para establecer y
asegurar los puntos de estandarización de seguridad dentro de la empresa.
Para finalizar cabe resaltar la importancia de consultar, desarrollar y debatir los puntos
planteados dentro de la actividad para enriquecer el concepto general que nos provee en
general el eje respecto a las vulnerabilidades y seguridad dentro de entornos empresariales
informáticos.

Fabian Alexis Leudo Ramos.

Los mecanismos de seguridad propios de las redes inalámbricas WLAN son vulnerables
desde su nacimiento, tal y como han demostrado numerosos estudios. En los últimos años,
se ha realizado un trabajo intenso en esta área, fruto del cual en la actualidad el nivel de
seguridad de las redes inalámbricas WLAN es comparable al de las redes cableadas.

Carlos Alberto Villegas Sanchez:

Todas las empresas deben considerar que pueden ser víctimas de pérdida de información y
exponer datos de clientes causando la pérdida de credibilidad. Para evitar que esto suceda, se
debe tener una normatividad que obligue a la empresa en tener un plan para la protección de
datos. Una de las normas más implementadas en la ISO 27000 el cual abarca toda a la
estructura de la empresa haciendo responsable a cada departamento en caso que haya una
pérdida de datos. Gracias a esta norma, la empresa donde laboro tiene una gran protección de
datos, y un estudio constante de posibles vulnerabilidades el cual se mitigan constantemente.

Una empresa que se certifique implementando un sistema de gestión de riesgos de la

información, cumplirá con los estándares internacionales y certifica sus procesos de
seguridad dado que identifica, gestiona y minimiza todos los riesgos que posee la seguridad
de la información. Implementar un SGSI no depende sólo del cumplimiento de los
parámetros brindados por la ISO 27001 e ISO 27005 sino es fundamental la participación de
la alta dirección de la empresa, porque ellos son los principales interesados en que su proceso
de exportación cumpla con las medidas de seguridad. que exige la empresa donde laboro. La
empresa que implemente el SGSI puede tener la certeza que sus clientes, proveedores y
demás asociados de negocio, tomarán este hecho de forma seria y continuarán con la relación
comercial de exportación, al saber que la empresa cumple con los estándares de seguridad en
su proceso. Es importante generar una cultura de seguridad en los miembros de la empresa,
porque los cambios no siempre son aceptados con facilidad, esto con el fin de que el SGSI
genere un alto nivel de seguridad en sus procesos. De acuerdo a la investigación desarrollada
se deduce que por más que se realice la implementación del SGSI no se puede garantizar el
100% de la seguridad, dado que el propósito del SGSI es gestionar los riesgos de la
información, es decir que sean conocidos, gestionados y minimizados por la organización.
(coronel (RA) 2014).

Video de Carlos Alberto Villegas Sanchez

https://drive.google.com/file/d/1pDAnlDTrLTLEp_nD3RJWqEHGEk78q2qy/view?
usp=sharing
LISTA DE REFERENCIAS

Ambit Team (2020)Tipos de Vulnerabilidades y Amenazas informáticas. Tomado de :

https://www.ambit-bst.com/blog/tipos-de-vulnerabilidades-y-amenazas-inform
%C3%A1ticas#:~:text=Una%20vulnerabilidad%20es%20un%20fallo,o%20un%20fallo
%20de%20dise%C3%B1o.

INCIBE (2017) Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian?. Tomado de :

https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-
diferencian

Escuela Europea Excelencia (EEE).(2017).Listado de amenazas y vulnerabilidades en ISO

27001.Tomado de : https://www.escuelaeuropeaexcelencia.com/2019/11/listado-de-
amenazas-y-vulnerabilidades-en-iso-27001/

PMG (2015). ISO 27001: Vulnerabilidades de la organización .Tomado de :

https://www.pmg-ssi.com/2015/06/iso-27001-vulnerabilidades-de-la-organizacion/

ISO (2017). ISO 27005: Normatividad en las empresas

https://normaiso27001.es/fase-4-planificacion-del-sgsi/#h5