AUDITORIA DE LA SEGURIDAD.

TEMA

PLAN DE MEJORAMIENTO

PRESENTADO POR

SERGIO ANDRÉS RAMIREZ ACOS

MICHAEL NICOLAS GOMEZ CURREA

PRESENTADO A TUTOR

JORGE OSPINA BELTRAN

Fundación universitaria del área Andina

Facultad de ingenierías y ciencias básicas

Ingeniería de sistemas

Eje 4

Bogotá, Colombia

2021

INTRODUCCIÓN
 AUDITORIA DE LA SEGURIDAD.

Se cataloga la información como uno de los activos más relevantes dentro de una organización
en la actualidad, debido a los intercambios que se realizan a través de la red conlleva a poner el
alto riesgo la seguridad confidencialidad, integridad y disponibilidad de la Información.
Conocemos a diario de casos donde archivos de las organizaciones han sido deteriorados por
falta de la implementación y aplicación de un buen sistema de gestión de seguridad informática
vigilado por auditorias en cada una de las áreas que haga uso de las TIC. Por esta razón es
nuestro deber como profesionales velar por controlar el tratamiento de la información en las
organizaciones, partiendo con hacer pedagogía en los empleados. Con el uso de herramientas
tecnológicas, personal capacitado y un manejo correcto de los procesos atendidos en garantizar
la protección del buen funcionamiento de la empresa y por supuesto cada uno de sus activos
partiendo del activo humano.

IMPRESORAS

Realizamos la auditoria a las impresoras y evidenciamos los siguientes riegos.

 Fuga de Información por impresión de información confidencial

 AUDITORIA DE LA SEGURIDAD.

realizada por usuarios no autorizados.

 Aumento de Costos en insumos por mal uso de la impresión.
 No existe restricción para enviar ordenes de impresión a través de la red.

Por el lugar de ubicación de algunas impresoras cualquier persona sin ninguna

autorización puede hacer uso de ella puesto que se encuentran ubicadas en lugares
fuera de vigilancia, lo que promete un riesgo al activo (Información). A continuación,
podemos observar la matriz de riesgo su calificación, observaciones, causas,
probabilidades y consecuencias de estos como Pérdida económica, Pérdida de Imagen,
etc.
En la segunda imagen podemos observar la matriz de calificación, evaluación y
respuesta a los riesgos. Se recomienda

 El uso de impresión por usuarios con contraseñas determinados por

direcciones IP con privilegios para enviar ordenes de impresión.
 Deshabilitar el uso compartido de archivos e impresoras en equipos que
no requieran tales privilegios.
 Hacer uso de estos dispositivos solo con fines útiles a la empresa.
 AUDITORIA DE LA SEGURIDAD.

EQUIPOS DE CÓMPUTO

Al realizar el proceso de auditoria en una organización a los equipos de cómputo

aplicamos la matriz de riesgos (Imagen 1) con al cual podemos analizar el
funcionamiento de los equipos. De acuerdo con los riesgos que se evidencian por no
cumplir las normas mínimas de un correcto funcionamiento como puede ser tener
hardware y software obsoleto no cumplir con actualizaciones no tener un control por
parte del grupo de sistemas para el análisis de los equipos tecnológico de la
organización, al evidenciarse los riesgos se establece una lista de comprobación con el
cual determinamos el impacto y área que se pueden ver afectadas con lo encontrado
(Imagen 2).
Al encontrar los riesgos aplicamos un plan de tratamiento con los cuales se da una
solución a lo evidenciado estableciendo un plan de trabajo con fechas de inicio, fechas
de fin e involucrando diferentes áreas las cuales se identifique que pueden ayudar a
mitigar los riesgos como lo pueden ser : Proveedor ,Almacén, mesa de ayuda , soporte y
los grupos de sistemas con los cuales se puede tener una certeza del software y
hardware de los equipos además que se cuenten con las actualizaciones de acuerdo a
las necesidades del negocio de la organización .
Para esto establecer y tener un control de las observaciones indicada se evalúa
mediante un seguimiento el cual de acuerdo con el riesgo se establecerían con tiempos
acordes al negocio en este caso se establece un control cuatrimestral.
AUDITORIA DE LA SEGURIDAD.
AUDITORIA DE LA SEGURIDAD.
 AUDITORIA DE LA SEGURIDAD.

ROUTER WIFI

Se realiza la respectiva auditoria de seguridad a dispositivos tales como Router WIFI en

los cuales podemos encontrar vulnerabilidades y amenazas posibles sin embargo para
ello se realiza una matriz de riesgo donde se evidencia no solamente un dispositivo tal
como Router si no demás componentes que diariamente son usados en la parte
tecnológica y que si no se configuran y se administran de la forma más adecuada se
puede llegar a presentar caso críticos donde la perdida de información y la afectación al
servicio será dada de manera negativa.

Vulnerabilidades posibles

 Contraseñas predeterminadas:
Es una de las vulnerabilidades más obvias ya que sabemos que al adquirir nuevos
dispositivos como lo son ROUTER WIFI entre otros llegan con contraseñas por default, es ahí
donde el administrador hace caso omiso y deja la misma clave y se logra vulnerar la red
fácilmente.

 Suplantacion de IP:
La suplantación es bastante difícil ya que el agresor debe predecir los números de
secuencia TCP/IP para coordinar la conexión a sistemas de destino, aunque hay
varias herramientas disponibles para que los atacantes realicen dicha agresión.

Amenazas Posibles

 Arquitecturas inseguras:
Una red mal configurada es un punto de entrada a usuarios no autorizados. Abandonar
un sitio confiable y abrir una red local vulnerable a la Internet que es altamente insegura,
es como si dejara la puerta entreabierta en un vecindario de alta delincuencia organizada
no ocurre nada por un tiempo, pero al final alguien aprovecha la oportunidad. Esta es una
amenaza latente en cualquier red informática.

 Redes de difusión:
Esta suele ser otra amenaza común y hace referencia a los protocolos de resolución de
direcciones como ARP o enmascaramiento de direcciones de control de acceso de
medios MAC y se debe a que Los administradores de sistemas suelen no dar
 AUDITORIA DE LA SEGURIDAD.

importancia al hardware de red en sus esquemas de seguridad es decir, cada vez que un
nodo transmite datos a través de la red a un nodo receptor, el concentrador o enrutador
envía una transmisión de paquetes de datos hasta que el nodo recipiente reciba y
procese los datos
 AUDITORIA DE LA SEGURIDAD.

Luego de hacer las respectivas auditorias se procede hacer un plan donde se gestiona el
riesgo de seguridad.

PLAN DE GESTION DE RIESGOS DE SEGURIDAD

A continuación, se realizará un plan de gestión de riesgos donde se genere acciones

que minimice el impacto de las vulnerabilidades y amenazas obtenidas en la compañía

Criterios de evaluación de riesgos:

Se identificará la magnitud del riesgo escalándolo de la siguiente forma
 AUDITORIA DE LA SEGURIDAD.

Criterios de impacto:
 Considerar el impacto a la información en términos de confidencialidad,
integridad y disponibilidad, así como los impactos del negocio.
 En esta fase de gestión de riesgos se identificarán los impactos considerando el nivel
de sensibilidad de los activos.
 En este caso entendemos que sensibilidad = impacto.

Criterios de aceptación:
 Se podrían aceptar los riesgos de nivel “Bajo”.
 Si se desea aceptar un riesgo en nivel “Medio o “Alto”, deberá:
 Existir la debida aprobación de la Gerencia.
 Contar con un registro de la justificación.

Organización:
 AUDITORIA DE LA SEGURIDAD.

Factores de riesgo:

Análisis y evaluación de riesgos:

 El análisis y evaluación de riesgos (Risk assessment) describe

cuantitativa o cualitativamente los riesgos.
 Esto facilita la gestión de la seguridad de la información, incluyendo la
implementación efectiva de controles y la toma de decisiones.
 Cada organización debe definir su propio enfoque para esta actividad.

Tratamiento de riesgos:

 Una vez concluido el Análisis y Evaluación de Riesgos, la siguiente

actividad es el Tratamiento de Riesgos.
 Existen cuatro opciones de tratamiento de riesgos:

 Transferir
 Reducir
 Aceptar
 Evitar

 Estas opciones no son mutuamente excluyentes.

 AUDITORIA DE LA SEGURIDAD.

Opciones de tratamiento:

 Reducción- Se reduce el riesgo por medio de la selección de controles para

que el riesgo residual sea reevaluado como aceptable.
 Aceptación- Se retiene el riesgo si el nivel de riesgo alcanza el criterio de
aceptación de riesgos y no necesitan implementarse controles adicionales.
 Evasión-Se evitan los riesgos cuando los riesgos identificados se consideran
demasiado altos, o los costos de implementar otra opción de tratamiento
excede los beneficios. Entonces, se suprime la actividad planeada o
existente o se cambian las conductas bajo las que opera la actividad.
 Transferencia- Se transfieren los riesgos cuando se toma la decisión de
compartirlos con terceras partes.
 Las opciones de tratamiento de riesgo deben seleccionarse tomando en
consideración:

 Los resultados del análisis y evaluación de riesgos

 El costo esperado de la implementación
 Los beneficios esperados

 Debe considerarse cómo perciben los riesgos las partes afectadas y la mejor
forma de comunicárselos, además de las restricciones identificados en el
establecimiento del contexto y las restricciones de reducción.
 Una vez definido el tratamiento de riesgos, se deben determinar los
riesgos residuales.
 Esto se logra actualizando o haciendo otra iteración del análisis y
evaluación de riesgos considerando los controles propuestos.

 Si los riesgos residuales no alcanzan los criterios de aceptación

establecidos, se requiere redefinir el tratamiento de riesgos.
 AUDITORIA DE LA SEGURIDAD.

Comunicación de Riesgos:

 Debe existir comunicación continua entre las partes interesadas.

 Puede formarse un comité con tomadores de decisiones y otras partes

interesadas donde puedan discutirse los riesgos, su priorización y
tratamiento apropiado y su aceptación.
 Deben existir planes de comunicación de riesgos tanto para
operaciones normales como para situaciones de emergencia.
 La cooperación con Relaciones Publicas, Departamento de Comunicación,
o área similar es importante; en especial en el caso de la comunicación de
crisis.
AUDITORIA DE LA SEGURIDAD.

CONCLUSIONES
 AUDITORIA DE LA SEGURIDAD.

Los análisis de riesgos nos proveen información acerca de las vulnerabilidades que posee una
organización, siendo este el punto de partida en la toma de decisiones de la seguridad
informática y con estas garantizar el aseguramiento exitoso de las mismas.
Es necesario involucrar a todas las áreas de la compañía para que trabajen de acuerdo con las
reglas de seguridad establecidas por el departamento de seguridad, ya que se hace necesario
adaptarnos a las soluciones de seguridad y con esto lograr una sinergia total referente al
aseguramiento de la empresa.

BIBLIOGRAFIA

 Las tecnologías de la información en la empresa”. Cuaderno de

 AUDITORIA DE LA SEGURIDAD.

Cinco Días. Europa MC.

 Equipo “Sistemas microinformáticos y Redes LAN”. Antonio

Vallejo, Ed. Marcombo, 2001.

 Los Servicios de Telecomunicaciones”. J.A. Carballar, Ed. RA-MA, 1993.

 Redes de Área Local”. teleline.terra.es/personal/plnevot/lanwan.htm

 https://access.redhat.com/documentation/es-
es/red_hat_enterprise_linux/6/html/security_guide/sect-
security_guide- common_exploits_and_attacks

 http://www.javeriana.edu.co/biblos/tesis/ingenieria/tesis181.pdf
AUDITORIA DE LA SEGURIDAD.
AUDITORIA DE LA SEGURIDAD.