ACTIVIDAD No.

INTEGRANTES:

DAVID MENDOZA CARVAJAL

HERNANDO HERNÁNDEZ PÉREZ

ANTONIO JOSÉ SUÁREZ LOMINET

SERGIO LUIS PORTILLO ARTEAGA

SEGURIDAD INFORMÁTICA

ELIANA CRUZ MERCADO

UNIVERSIDAD DE CARTAGENA

INGENIERÍA DE SOFTWARE
 LORICA-CÓRDOBA

15 DE JUNIO 2021

PROCESOS Y SERVICIOS A PROTEGER

Software:
Difiera a cada empresa, entre los más comunes podemos encontrar paquete de office,
software contable, etc..

Servicios:
Intranet
Antivirus
Software y ejecutables.
Bases de datos clientes
Backup de la información.

Activos:
Personal
Hardware
Comunicaciones.
soportes de información

Amenazas

Naturales

[N.1] Fuego

Tipos de activos: Dimensiones:

[HW] equipos informáticos (hardware) 1. Pérdida parcial o total de
[Media] soportes de información información.
• [AUX] equipamiento auxiliar 2. retraso en los proyectos

Descripción:
incendios: posibilidad de que el fuego acabe con recursos del sistema.
[N.2] Daños por agua

Tipos de activos: Dimensiones:

[HW] equipos informáticos (hardware) 1. Pérdida parcial o total de
[Media] soportes de información información.
• [AUX] equipamiento auxiliar 2. retraso en los trabajos y proyectos

Descripción:
inundaciones: posibilidad de que el agua acabe con recursos del sistema.

[I.3] Contaminación mecánica

Tipos de activos: Dimensiones:

[HW] equipos informáticos (hardware) 1. Pérdida parcial o total de
[Media] soportes de información información.
• [AUX] equipamiento auxiliar 2. retraso en los proyectos

Descripción:
vibraciones, polvo, suciedad, …
Origen:
Entorno (accidental) Humano (accidental o deliberado)

[I.4] Contaminación electromagnética

Tipos de activos: Dimensiones:

[HW] equipos informáticos (hardware) 1. Pérdida parcial o total de
[Media] soportes de información información.
• [AUX] equipamiento auxiliar 2. retraso en los proyectos.
3. fallas en los HW, Media y AUX.

Descripción:
interferencias de radio, campos magnéticos, luz ultravioleta, ...
Origen:
Entorno (accidental) Humano (accidental o deliberado)

[I.5] Avería de origen físico o lógico

Tipos de activos: Dimensiones:

[HW] equipos informáticos (hardware) 1. Pérdida parcial o total de
[Media] soportes de información información.
• [AUX] equipamiento auxiliar 2. pérdida de la integrabilidad de la
información.
3. falta de disponibilidad del sistemas.
4.
 5. retraso en los proyectos

Descripción:
vibraciones, polvo, suciedad, …
Origen:
Entorno (accidental) Humano (accidental o deliberado)

Riesgos

Es toda posibilidad de ocurrencia de potencial de daño a las personas, equipos, medio

ambiente o imagen de la compañía. El riesgo normalmente es directamente proporcional
con la vulnerabilidad, así que entre más grande sea esta mayor es el riesgo que se corre.

Análisis de Riesgos
Es una técnica o conjunto de técnicas, que busca estimar de manera cuantitativa o
cualitativa la magnitud de los riesgos o vulnerabilidades a los que sean expuestos día a día
las organizaciones, de esta manera poder realizar una efectiva selección de salvaguardas
que ayuden a mitigar el impacto que este riesgo puede causar a la organización teniendo en
cuenta.

Elementos Del Análisis De Riesgos

Activos: Recursos del sistema de información o relacionados con este, necesarios para
que funcione correctamente y alcance los objetivos propuestos por su dirección. El activo
esencial es la información o datos.

Amenazas: Determinar las amenazas que pueden afectar a cada activo, hay que estimar
cuán vulnerable es el activo en dos sentidos:
Degradación: Como es perjudicial y Frecuencia: Cada cuanto se materializa la amenaza.

Vulnerabilidades: Potencialidad o posibilidad de ocurrencia de la

materialización de una amenaza sobre dicho activo”.

Impactos: Es el daño sobre el activo causado por la amenaza, conociendo

el valor de los activos sería muy sencillo calcular el valor del impacto.

Evaluación de Riesgos

Se debe implementar en las organizaciones y buscan eliminar los riesgos a los cuales se ve
expuesta la organización, de no ser posible su eliminación, se definen una serie de
controles que buscan minimizar el impacto hasta niveles aceptables para la compañía.

Valoración matriz de riesgos por impacto y probabilidad

Escala Probabilidad Escala Impacto

Alta: A Catastrófico:C
Media: M Moderado: M
Baja: B Leve: L

Riesgo / Valoración Probabilidad Impacto

A M B L M C

R1 Daño de equipos informáticos X X

(servidores y estaciones de trabajo)
por exposición a polvo.

R2 Daño de equipos informáticos X X

(servidores y estaciones de trabajo)
por exposición a altas temperaturas.

R3 Daño de equipos informáticos X X

(servidores y estaciones de trabajo)
por humedad

R4 Daño de equipos informáticos X X

(estaciones de trabajo) por
cortocircuito en celdas de potencia
eléctrica.

R5 No consecución de repuestos e X X
equipos informáticos por
obsolescencia.

R6 Acceso no autorizado a los servicios X X

y base de datos de los servidores

R7 Falta de soporte por parte de los X X

desarrolladores de software por
obsolescencia.

R8 Infección de virus por que se tiene X X

el antivirus desactualizado.

R9 Almacenamiento no seguro de X X
copias de seguridad y backup del
sistema

R10 Los puertos USB no están X X

restringidos

R11 Robo de dispositivos tecnológicos X X

R12 Robo de información confidencial X X

R13 Modificación de información X X

confidencial

R14 Indisponibilidad del sistema X X

 informático por daños aleatorios

R15 Falla en las políticas de seguridad X X

implementadas

R16 Sabotaje externo X X

R17 Falta de competencias y aptitudes X X

por parte de los usuarios finales

LEVE MODERADO CATASTRÓFICO

ALTO R10 R6,R7 R12,R13,R14

MEDIO R17 R5,R8,R17 R9,R11

BAJO R15 R1,R2,R3,R4,R16

CONTROLES EXISTENTES

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Se debe definir un conjunto de políticas para la seguridad de la información, aprobada por la

dirección, publicada y comunicada a los empleados y partes interesadas.

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Se deben definir y asignar todas las responsabilidades de la seguridad de la información.

SEGURIDAD DE LOS RECURSOS HUMANOS

Asegurar que los empleados y contratistas comprenden sus responsabilidades y son

idóneos en los roles para los que se consideran.

GESTIÓN DE ACTIVOS

Se deben identificar los activos asociados con información e instalaciones de procesamiento

de información, y se debe elaborar y mantener un inventario de estos
activos.

CONTROL DE ACCESO

Solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que
hayan sido autorizados específicamente.

CRIPTOGRAFÍA
Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para
protección de información.

SEGURIDAD DE LAS OPERACIONES

Los procedimientos operativos se deben documentar y poner a disposición de todos los

usuarios que los necesitan.

SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES

Se deben aplicar medidas de seguridad a los activos que se encuentran fuera de los predios
de la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de dichos
predios.El acceso a los sistemas informáticos desde el exterior se hace mediante VPN,
credenciales de acceso a la máquina, y se tienen contratadas las pólizas de respaldo ante
eventualidades.

TELETRABAJO

Para poder garantizar la seguridad del teletrabajo es importante establecer una serie de
normas de seguridad informática y utilizar herramientas y protocolos seguros de acceso.

Las principales medidas de seguridad para el teletrabajo son:

Protección de los equipos de los usuarios

Los usuarios deben contar en sus equipos con sistemas de protección como antivirus o
antimalware, que ayuden a evitar que este tipo de infecciones lleguen a producirse en sus
equipos.

Los equipos y dispositivos de los usuarios deben estar siempre actualizados con la última
versión del sistema operativo, incluyendo sus parches de seguridad. De esa forma se evitan
vulnerabilidades que puedan ser aprovechadas por terceros.

Utilizar contraseñas seguras

La empresa debe implantar un sistema de creación de contraseñas sólidas y seguras para

sus usuarios. Este tipo de contraseñas impedirá que sean averiguadas por terceros con el
uso de herramientas específicas.

Acceso mediante conexiones seguras

El acceso a la red empresarial debe hacerse por parte de los usuarios desde una red
segura. En este aspecto las redes VPN son una gran solución para controlar los usuarios
que pueden acceder a las plataformas de la empresa, minimizando el riesgo de que acceda
alguien no autorizado.
Otras medidas de seguridad informática para el teletrabajo

También es importante que la empresa tome otra serie de medidas de seguridad para poder
garantizar que el teletrabajo no ponga en riesgo la seguridad de la información los sistemas,
como formación de los empleados en materia de seguridad, publicación de protocolos y
políticas de ciberseguridad o proporcionar los dispositivos de acceso a los empleados, entre
otras.

Para poder llevar a cabo el trabajo remoto desde casa o teletrabajo es importante priorizar
la seguridad. Los usuarios que acceden a las plataformas de la empresa para realizar su
trabajo representan uno de los mayores riesgos en ciberseguridad. Por eso es importante
tomar una serie de medidas de seguridad informática para el teletrabajo que minimice
riesgos y de las garantías suficientes para crear un entorno de trabajo seguro.

IDENTIFICACIÓN DE VULNERABILIDADES

Ambiental/físicas: Los equipos de trabajo se encuentran expuestos a múltiples riesgos

como lo son altas temperaturas, humedad, golpes y excesiva exposición a polvo generado
por trabajos de limpieza. Riesgo de incendio debido a la cercanía con la cocina. picos de
voltaje, suministro de voltaje insuficiente.

Vulnerabilidades de hardware: Por falta de programa de actualización de equipos y por

falencias en el almacenamiento de los mismos.

Vulnerabilidades de software: Por falta de actualizaciones de los equipos, ya que los

servidores después de ser instalados y puestos en funcionamiento no se suelen volver a
actualizar, el antivirus no es actualizado debido a que estas en ocasiones desactivan
servicios de la aplicación y genera indisponibilidad del sistema. no existen restricciones para
acceder a los programas o sistemas.

Vulnerabilidades de comunicaciones: Los router, switches, etc. tienen debilidades en los

protocolos de TCP/IP. falta de protección en las contraseñas.

Vulnerabilidades de medio de almacenaje: No se cuenta con un lugar apropiado para

almacenar de manera segura las copias de seguridad y los backup. Además, los usuarios
finales pueden acceder a medios magnéticos como discos duros portátiles y memorias USB
a las estaciones de trabajo lo cual podría facilitar el robo de información y podrían afectar de
manera intencional la disponibilidad del sistema y la integridad de la información
almacenada.

Vulnerabilidad humana: los operadores acceden las 24 horas del día los 7 días de la
semana al sistema, por lo tanto, no tenemos control todo el día de las actividades
adicionales que podrían desarrollar a lo largo de la jornada, el sistema se ve expuesto a
posibles sabotajes, robo de información.
Vulnerabilidades Socio-Educativa: muchos de los operadores del sistema no cuentan con
conocimiento profundo en sistemas y se limitan al uso básico del sistema, esto se debe a la
falta de capacitación en seguridad informática y en el uso de los recursos informáticos, lo
que generaría conciencia sobre el buen uso del sistema y el seguimiento en los
procedimientos operacionales que se tienen. también realizan otras actividades en el
transcurso de sus labores, abriendo paginas de red social lo cual abre las puertas al peligro.

Realizará las respectivas valoraciones que tengan lugar según el documento.

ciclo de vida de un sistema de seguridad informática

La seguridad de la información es un ciclo constante, es un sistema que debe tener una
planificación, verificación basada en un ciclo PHVA o ciclo de Deming. Con los diversos
clientes de Cloud Seguro en sectores como salud, bancario, servicios, fintech, es importante
enseñarles a los clientes que la seguridad no es un proyecto. La seguridad de la
información es un proceso constante el cual debe empezar con un análisis detallado del
contexto de la organización, donde las empresas deben entender cuál es su estrategia en
ciberseguridad.

1. Planificar. En esta etapa se deben cumplir las siguientes acciones:

● Determinar el alcance del SGSI en términos del negocio, la empresa, su localización,

activos y tecnologías.
● Fijar una política de seguridad.
● Identificar, analizar y evaluar los riesgos.
● Evaluar alternativas de tratamiento de riesgos para aplicar controles adecuados.
● Definir una declaración de aplicabilidad que incluya los objetivos de los controles
mencionados.
2. Hacer. En esta fase, se realiza la implementación del Sistema de Gestión de Seguridad
de la Información. Para lo cual, se deben tomar decisiones como:

● Establecer e implantar un plan de tratamiento de riesgos.

● Implementar los controles anteriormente seleccionados.
● Definir un sistema de métricas para medir la eficacia de los controles.
● Implantar procedimientos para detectar y resolver los incidentes de seguridad.
3. Verificar. Abarca las tareas para la monitorización del SGSI, las cuales son:

Revisar regularmente la efectividad del sistema.

Medir la efectividad de los controles planteados.
Actualizar los planes de seguridad.
Revisar las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables.
Realizar periódicamente auditorías internas del SGSI.

4. Actuar. Las acciones que se desarrollan en esta fase deben darse regularmente. De lo
contrario, los resultados no serán favorables.

Deming nombra las siguientes:

Instaurar las mejoras a identificar en el SGSI.

Comunicar las mejoras a todas las partes interesadas con detalles y precisión.
Garantizar que las mejoras implantadas logren los objetivos previstos.
La implementación de un Sistema de Gestión de Seguridad de la Información es una acción
que debe realizarse de forma estratégica. Asimismo, requiere de la participación de toda la
organización, incluyendo el respaldo y conducción de la dirección.

El análisis de riesgos permite determinar vulnerabilidad, amenazas, riesgos y controles

actuales dentro de las organización es parte de las actividades de planificación, donde se
toman decisiones de tratamiento. Estas decisiones se materializan en la etapa de
implantación, donde conviene desplegar elementos que permitan la monitorización de las
medidas desplegadas para poder evaluar la efectividad de las mismas y actuar en
consecuencia, dentro de un círculo de excelencia o mejora continua.

Análisis

El teletrabajo se ha convertido en la principal alternativa para que muchas empresas

mantengan sus operaciones activas en tiempos de pandemia. Trabajando desde
casa, es posible que las prácticas y normas de ciberseguridad no sean tan robustas
como en una oficina, en donde con los debidos recursos, todo el tráfico pasa por un

firewall que controla el acceso de la computadora a la red y de elementos de la red

a la computadora, y es filtrado constantemente.

Con el teletrabajo las posibilidades de hackeo y de comprometer a una empresa se

multiplican, y más aún cuando los usuarios utilizan el internet de sus casas o se
conectan en lugares públicos para acceder a su información. “En estos momentos,
es esencial robustecer los equipos de ciberseguridad con herramientas que
permitan monitorear lo que sucede en la red y detectar de forma temprana
comportamientos maliciosos que pudieran concluir en un ciberataque”, “a través de
un sistema de monitoreo y alerta temprana se facilita el trabajo de identificación de
amenazas y su análisis, anticipando, considerablemente, la rapidez de respuesta a
incidentes, con ahorros en el tiempo operativo de los responsables de TI. Además,
se evitan incidentes de gran escala al identificar deficiencias que pudieran darse, y
que no permitirían detectar las amenazas en el momento oportuno”. Con este tipo
de herramienta, el equipo de ciberseguridad de la organización puede identificar, en
tiempo real, las alertas que requieren su atención. También, en segundos, pueden
acceder al histórico completo del evento sospechoso para facilitar el trabajo de
investigación y respuesta al incidente.

Un ejemplo de este tipo de herramientas es CyberEasy, diseñada para elevar el

nivel de ciberseguridad a través de un sistema de monitoreo de red y alerta
temprana ante amenazas, vulnerabilidades y ataques. Usando técnicas avanzadas
como Análisis de Comportamiento e Inteligencia Artificial, simplifica el proceso de
caza de amenazas (threat hunting) en un dashboard, generando valor agregado a
cualquier equipo de ciberseguridad.

Además, tiene la capacidad y fortaleza de analizar la actividad de los activos estén

conectados a la red de la organización o bien estén en una red pública, como está
sucediendo actualmente, que muchos colaboradores de empresas se encuentran
teletrabajando; y permite alertar en tiempo real sobre cualquier comportamiento
sospechoso que pudiera convertirse en un ataque.

Hay algunas recomendaciones para incrementar la seguridad de equipos y datos

trabajando desde casa:

● Instale y mantenga actualizado un antivirus en todos los activos que acceden

a la información de la empresa (computadora, tablet, teléfono, etc.)
● Tenga todos sus programas y sistemas actualizados, aplicando las
recomendaciones
del fabricante.
● No instale softwares piratas o de sitios de dudosa procedencia.
● No utilice la misma contraseña en varias cuentas o servicios.
● Las empresas deben capacitar a sus colaboradores para que sean capaces
de identificar y reportar potenciales amenazas.
● Si es posible, utilice elementos que permitan doble factor de autenticación.