ACTIVIDAD EVALUATIVA EJE 2

POLITICAS DE SEGURIDAD INFORMATICA

JUAN ESTEBAN TORO VELASQUEZ, GRUPO 63

YERSON SNEIDER JARAMILLO VASQUEZ, GRUPO 63

PROFESOR
RAUL BAREÑO GUTIERREZ

SEGURIDAD EN APLICACIONES
BOGOTÁ D.C SEPTIEMBRE DE 2021
 Tabla de Contenidos

OBJETIVO. ..................................................................................................................... 2
Objetivo general. .......................................................................................................... 3
Objetivo específico. .................................................................................................... 3
1. INTRODUCCION.................................................................................................... 4
2. DESARROLLO DEL TALLER ............................................................................. 5
2.1 POLITICAS DE SEGURIDAD FISICA ................................................................ 6
2.2 POLITICAS DE SEGURIDAD DE RED. ......................................................... 7
2.3 POLITICAS DE SEGURIDAD HUMANA. ...................................................... 8
2.4 POLITICAS DE SEGURIDAD EN SISTEMAS OPERATIVOS. ................. 9
2.5 POLITICAS DE SEGURIDAD EN APLICACIONES .................................. 10
2.6 POLITICAS DE SEGURIDAD EN SGBD ..................................................... 11
3 CONCLUSIONES................................................................................................. 12
4 BIBLIOGRAFIA. ................................................................................................... 13

OBJETIVO.
Objetivo general.

Aplicar conocimientos adquiridos en relación con la creación y la interpretación

de políticas de seguridad informática.

Objetivo específico.

Proponer en grupo el desarrollo de una política de seguridad informática bajo la

norma ISO/IEC 17799
 1. INTRODUCCION.

Debido al crecimiento y evolución que han tenido los sistemas de información y

los medios tecnológicos han surgido nuevas amenazas, delitos y riesgos
informáticos que hacen más vulnerable y sensible la información de cualquier
empresa o usuario que cuente con equipos conectados la red de internet.
Dia tras día se generan y descubren nuevos métodos, estrategias o
modalidades de realizar ataques, lo cual hace que estemos mas prevenidos y
atentos ante cualquier vulnerabilidad que se presenten, lo cual nos hace
comprender aun mas la importancia que tiene la seguridad informática en los
sistemas de información.
Para evitar pérdidas de información o ser blancos de cualquier tipo de delito
informático es de vital importancia conocer y comprender de qué manera
actúan los delitos informáticos y también conocer que tipo de sanciones y
procesos judiciales se pueden llevar a cabo en caso de incurrir en algún tipo de
delito, así como también implementar buenas practicas de seguridad las cuales
sean efectivas para nuestro entorno.
El punto de partido del presente eje de pensamiento es entender que el activo
mas valioso e importante que puede tener una persona o empresa es la
información digital, por esta razón debemos identificar las vulnerabilidades
informáticas que se pueden presentar en cualquier momento, y adquirir el
conocimiento suficiente para prevenir cualquier ataque informático
estableciendo un modelo de políticas de seguridad informática.
 2. DESARROLLO DEL TALLER

Al generar este modelo de prevención de ataques informáticos ideal para

cualquier persona u organización con la finalidad de establecer unas políticas
de seguridad y aumentar nuestros conocimientos sobre seguridad informática,
entendiendo la importancia de la actualización de sistemas operativos, la
adquisición de herramientas como antivirus y el mejoramiento de sus
contraseñas.
Objetivo:
Establecer reglas y lineamientos técnicos para el uso controlado de información
que minimice el riesgo de perdida de datos, accesos no autorizados,
divulgación no controlada, duplicación e interrupción intencional de la
información.
Alcance:
El modelo de políticas de seguridad informática incluye a clientes internos que
son las dependencias que componen la estructura de la empresa y los externos
que tienen vinculación mediante contratos o acuerdos de servicios.
La seguridad de la información debe estar enmarcada con los siguientes
principios:
• Confidencialidad: Se garantiza que la información sea accesible solo a
aquellas personas que estén autorizadas para tener acceso a ella.
• Integridad: Se salvaguarda la exactitud y totalidad de la información y los
métodos de procesamiento.
• Disponibilidad: Se garantiza que los usuarios autorizados tengan
acceso a la información y a los recursos relacionados con la misma, toda
vez que lo requieran.
 2.1 POLITICAS DE SEGURIDAD FISICA

Es muy importante ser conscientes que por mas que nuestra empresa sea la
mas segura y robusta desde el punto de vista de ataques externos, hackers,
virus, etc. La seguridad física es uno de los aspectos mas olvidados a la hora
del diseño de un sistema informático. Si bien algunos de los aspectos tratados
a continuación se prevén, otros, como la detección de un atacante interno a la
empresa que intenta acceder físicamente. Esto puede derivar en que para un
atacante sea más fácil lograr tomar y copiar información de la empresa, que
intenta acceder vía lógica a la misma. Esta política debe aplicarse para todo el
personal vinculado a la organización, contratistas y terceros que tengan acceso
a los recursos información de la compañía.
La seguridad física identifica las amanezas, vulnerabilidades y las medidas que
pueden ser utilizadas para proteger físicamente los recursos y la información
de la organización. Los recursos incluyen el personal, el sitio donde ellos
laboran, los datos, equipos y los medios con los cuales los empleados
interactúan, en general los activos asociados al mantenimiento y
procesamiento de la información, como por ejemplo activos de información,
activos de software y activos físicos.
Se debe establecer las siguientes herramientas o parámetros:
• Mantener áreas seguras para la gestión, almacenamiento y
procesamiento de información.
• Las áreas deben contar con protecciones físicas y ambientas acordes
con el valor y la necesidad de aseguramiento.
• Definición de parámetros de seguridad, controles de acceso físico,
seguridad para protección de los equipos.
• El ingreso de terceros a los centros de cómputo y centros de cableado,
debe estar debidamente registrado mediante una bitácora custodiada
por el personal de vigilancia de la entidad.
• Los privilegios de acceso físico a los centros de computo deben ser
descontinuados o modificados oportunamente a la terminación,
transferencia o cambio en las labores de un funcionario autorizado.
• El centro de computo debe contar con mecanismos de control de acceso
tales como puertas de seguridad, sistemas de alarmas o controles
biométricos; sistemas de detección y extinción automáticas de incendios,
control de inundación y alarma en caso de detectarse condiciones
inapropiadas.
• Estar separado de áreas que tengan líquidos inflamables o estén en
riesgo de inundaciones o incendios.
• Las oficinas e instalaciones donde haya atención al publico no deben
permanecer abiertas cuando los funcionarios se levanten de sus puestos
de trabajo, así sea por periodos cortos de tiempo.
 • Las contraseñas de sistemas de alarma, cajas fuertes, llaves y otros
mecanismos de seguridad de acceso a las oficinas solo deben ser
autorizados por los funcionarios de la organización.

2.2 POLITICAS DE SEGURIDAD DE RED.

Las comunicaciones son las bases de los negocios modernos, pue sin las
mismas ninguna empresa podría sobrevivir. Por tal razón, es necesario que las
organizaciones mantengan sus servidores, datos e instalaciones lejos de los
hackers y piratas informáticos.
El mantener una red segura fortalece la confianza de los clientes en la
organización y mejora su imagen corporativa, ya que mucho son los criminales
informáticos (agrupaciones profesionales, aficionados y accidentales) que
asedian día a día las redes. Con un análisis de riesgos pueden saber cual es el
nivel de seguridad de su red. Debe analizar cuales son los puntos de entrada
en su red y los diferentes puntos en los que puede haber riesgos.
Se debe ser capaz de definir tres niveles de riesgos en la información y en la
red de su organización:
• Riesgo bajo: Se consideran así los datos que en caso de perdida no
suponen un problema para el desarrollo del negocio en la empresa. Son,
por tanto, datos que no suponen una pérdida económica importante ni
acarrean repercusiones legales graves.
• Riesgo medio: En este caso se trata de información y datos que, en
caso de perderse no supondrán un coste muy económico elevado y,
aunque puedan suponer la interrupción de la actividad de la empresa, no
lo será en gran medida ni por mucho tiempo.
• Riesgo alto: Son datos que, en caso de pérdida podrían suponer la
interrupción de la actividad de la empresa, pondrían en peligro la
integridad de una persona y supondrían un nivel alto de gasto o
repercusiones legales importantes.

Se debe establecer las siguientes herramientas:

• Conocer los riesgos informáticos analizando los componentes físicos
de la red y la manera como está organizada la información.
• Involucrar al personal de cada departamento explicando cuales son
las ventajas de implementar políticas de seguridad y los riesgos de
no tenerla.
• Establecer protocolos de seguridad, hacer copias de seguridad de la
información que se usa en la red y de cuanta información sea de vital
importancia para las empresas.
• Crear un equipo de seguridad y una estructura, es importante que
haya una buena organización de la seguridad y que haya
 determinadas personas en la organización que estén velando por el
cumplimiento de los protocolos y las medidas adoptadas.
• Protección estar muy pendientes que en la organización se
mantengan protegidos los equipos intermediarios y los ordenadores
implementando un sistema de actualización y revisión constante de
los ordenadores para que tengan las ultimas versiones de antivirus
instaladas.
• Es importante contar con consolas de antivirus, firewall y demás
programas que eviten la entrada de código malicioso en
ordenadores.
• Establecer mecanismos que permitan auditar tanto los elementos
físicos de la red como el desempeño de usuarios.

2.3 POLITICAS DE SEGURIDAD HUMANA.

Con el uso de la tecnología, surgen a su vez amenazas y vulnerabilidades

asociadas, que puedan llegar a afectar la disponibilidad, privacidad e integridad
de la información que se encuentra disponible en las diferentes plataformas,
afectando de esta manera el desempeño normal de la empresa. Para esto, el
modelo de seguridad y privacidad indica pautas especificas para guiar a las
instituciones a robustecer sus plataformas y mitigar amanezas que puedan
llegar a traer consigo las tecnologías implementadas, sin embargo, un
programa robusto de seguridad y privacidad de la información no se basa
únicamente en el abastecimiento de plataformas y procesos, sino que también
debe involucrar los factores humanos.
Muchas entidades no prestan la suficiente atención a su recurso humano, que
pueda llegar a ser el eslabón más débil en la cadena de la seguridad de la
información, por lo que es necesario sensibilizarlos o capacitarlos sobre la
importancia de la preservación de la disponibilidad, integridad y
confidencialidad de la información.
Se debe establecer las siguientes herramientas:
• Definir los temas para la capacitación en seguridad de la información, de
acuerdo con el público objetivo.
• Establecer la metodología que les permita evidenciar cuales son las
necesidades de capacitación para la entidad.
• Construir materiales para la sensibilización y entrenamiento.
• Evaluar, medir y cuantificar, si el programa implementado genera
impacto en el desarrollo de las actividades de la entidad.
• Impactar sobre el comportamiento de una población o reforzar buenas
prácticas sobre algún tema en particular.
• Monitorear y mantener actualizado a los usuarios.
• Identificador del desempeño del plan de capacitación, los métodos para
identificación de necesidades.
 • Entrevistas con grupos claves o usuarios que hagan parte de los roles
definidos previamente.
• Verificación de los incidentes de seguridad de la información, son una
fuente muy importante para identificar vulnerabilidades y amenazas.

2.4 POLITICAS DE SEGURIDAD EN SISTEMAS OPERATIVOS.

El sistema operativo es el entorno físico en el que se ejecuta la aplicación.

Cualquier vulnerabilidad en el sistema operativo puede comprometer la
seguridad de la aplicación. La protección del sistema operativo garantiza la
estabilidad del entorno, el control del acceso a los recursos y el control de
acceso externo al entorno. Las amenazas pueden llegar a través de la web,
pero también pueden llegar de un terminal físico. Aunque el acceso web sea
muy seguro, si un atacante obtiene acceso físico a un servidor, entrar en un
sistema operativo es mucho más fácil.
Estos controles pueden implementarse en el sistema operativo, sobre los
sistemas de aplicación, en bases de datos, en un paquete especifico de
seguridad. Constituyen una importante ayuda para proteger al sistema
operativo de la red, al sistema de aplicación y demás software de la utilización
o modificaciones no autorizadas; para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y para
resguardar la información confidencial de accesos se debe establecer las
siguientes herramientas:
• Identificación y autenticación
• Roles o perfil de usuarios
• Limite el numero de cuentas de usuarios en los sistemas servidores.
• Limitación de servicios
• Asegúrese de que solo unos cuantos usuarios de confianza tengan
acceso administrativo a los sistemas servidores.
• Asigne los permisos de acceso mínimos necesarios para la cuenta que
ejecuta la aplicación.
• Ubicación y horario
• Control de acceso interno
• Control de acceso externo
• Deniegue el acceso a recursos de forma predeterminada
• Configuración de contraseñas extensas y complementadas con
caracteres especiales
• Asegúrese de que los servicios no utilizados no se ejecuten y de que no
se inicien automáticamente en los sistemas operativos Microsoft
Windows.
• Reduzca el numero de puertos de confianza especificados en el archivo
/etc/services
• Elimina las aplicaciones que no sean esenciales para reducir las
posibles vulnerabilidades del sistema.
 • Restrinja los servicios locales a los servicios necesarios para la
operación.

2.5 POLITICAS DE SEGURIDAD EN APLICACIONES

Se busca establecer e integrar los mecanismos y procedimientos, que permitan

monitorear el acceso a los activos de información, que incluyen los
procedimientos de administración de usuarios, definición de responsabilidades,
perfiles de seguridad, control de acceso a las aplicaciones y documentación
sobre sistemas, que van desde el control de cambios en la configuración de los
equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el
control de software malicioso.
La política tiene como objetivo establecer los requerimientos que en materia de
antivirus deben ser satisfechos, para todos los equipos de computo conectados
de manera lógica o física, a los sistemas informáticos o redes de la empresa, a
fin de prevenir y detectar de manera efectiva, instrucciones maliciosas. Estas
políticas son aplicables a todos los usuarios de equipos de computo que hayan
de ser conectados a los sistemas informáticos de la empresa.
Se debe establecer las siguientes herramientas
• Todo el personal usuario debe tener instalado el antivirus y
efectivamente activo, en el equipo.
• El antivirus debe estar actualizado en su última versión.
• Ningún usuario no permitido debe poder manipular o deshabilitar las
aplicaciones del antivirus instaladas en la empresa.
• Toda instalación o desinstalación de las aplicaciones de antivirus, será
llevada a cabo únicamente por el personal encargado.
• Asigne los permisos de acceso mínimos necesarios para la cuenta que
ejecuta la aplicación.
• Ningún usuario en ninguna circunstancia debe manipular o tratar de
eliminar instrucciones maliciosas de los equipos de la empresa.
• Utilice un servidor de hora para ajustar la hora con el fin de realizar
tareas de diagnóstico.
• Registre los eventos relacionados con la seguridad, incluidos los inicios
de sesión satisfactorios y fallidos, los cierres de sesión y los cambios en
los permisos de usuario.
• Proteja los archivos de registro del sistema restringiendo los permisos de
acceso a ellos.
• Planifique el mantenimiento regular de los parches de seguridad.
 2.6 POLITICAS DE SEGURIDAD EN SGBD

Todos los colaboradores, consultores, contratistas, terceras partes, que usen

activos de información que sean propiedad de la organización, son
responsables de cumplir y acoger con integridad la política de uso de acceso
para dar un uso racional y eficiente de los recursos asignados.
Cada servicio de internet que utilice o preste supone riesgos para el sistema y
para la red que está conectado. La política de seguridad es un conjunto de
reglas que se aplican a las actividades del sistema y los recursos de
comunicaciones que pertenecen a una organización. Estas reglas incluyen
áreas como la seguridad física, personal, administrativa y de la red.
Se debe establecer las siguientes herramientas:
• Asegúrese de que los administradores de la base de datos entiendan la
importancia de garantizar su protección.
• Mantener actualizadas las bases de datos y eliminar los componentes
desconocidos.
• Protección de recursos garantiza que los usuarios autorizados podrán
acceder a los objetos del sistema.
• Definir con precisión las distintas categorías de usuarios que puedan
acceder al sistema.
• Autenticación y verificación de que el recurso, persona o maquina
situado en el otro extremo de la sesión es realmente el que dice ser.
• Los certificados digitales pueden ofrecer un método mas seguro de
autenticación.
• Los usuarios autenticados podrían tener distintos tipos de permisos,
según su nivel de autorización.
• Recurrir al enmascaramiento de datos o permitir a los usuarios acceder
a cierta información sin poder ver la ayuda a mantener la
confidencialidad incluso en entornos de prueba.
• Minimizar los extras y limitarse a los servicios, aplicaciones y
funcionalidades que realmente son necesarios para asegurar el normal
funcionamiento de las operaciones del negocio, de esta forma se reduce
el riesgo.
• Es la seguridad de que la información confidencial permanece privada y
no es visible para los intrusos.
• Las comunicaciones por correo electrónico entre la empresa y sus
públicos de interés deben hacerse a través del correo homologado y
proporcionado por la empresa.
• Esta cuenta estará activa durante el tiempo que dure la vinculación del
colaborador con la entidad.
• La capacidad máxima para el almacenamiento de correo electrónico
esta definida por el área de tecnología.
 • Hacer copias de seguridad frecuentes y emplear una fuente de
alimentación interrumpida o SAI que garantice que un corte de energía
no causa la perdida de datos.
• Recurrir a herramientas como el análisis de código estático, que ayudan
a reducir los problemas de inyección de SQL, desbordamiento de búfer y
problemas de configuración.

3 CONCLUSIONES

Es un hecho que un departamento de sistemas es un departamento de

servicios, que sus clientes son los propios empleados y áreas de la empresa,
que son los que ocupan sus servicios, los cuales, son importantes, como los
que se le ofrecen a los clientes externos; porque aunque erróneamente se crea
que un departamento de servicios solo ocasiona gastos y no genera ingresos,
estos últimos están implícitos en los ahorros que promueven y que logra a
través de un adecuado manejo de la información.
Una respuesta inmediata a los incidentes que podrían poner en riesgo la
seguridad, integridad, confidencialidad y disponibilidad de los datos, activos,
programas, redes y demás recursos de tecnología de información es
indispensable para garantizar la operación continua.
Evaluar y controlar permanentemente la seguridad física de la empresa es la
base para o comenzar a integrar la seguridad como una función primordial
dentro de cualquier organismo, el poder tener controlado el ambiente físico
permita disminuir riesgos siniestros, trabajar mejor manteniendo la sensación
de seguridad, descartar falsas hipótesis si se produjeran incidentes.
El usuario final es la clave para el desarrollo de una política de seguridad de la
información, sin un usuario sensibilizado acerca de las amenazas y
vulnerabilidades a los que está expuesto, es mas probable que se produzcan
incidentes de seguridad que puedan a tener impacto considerable dentro de la
entidad.
El apoyo y compromiso de la alta dirección es clave para poder llevar a cabo un
buen plan de capacitación.
Este modelo de política de seguridad permite identificar el estado de riesgo de
la organización ante amenazas que puedan afectar la integridad de la
información la aplicación del modelo orienta a las organizaciones en la
definición de medidas que contribuyan a la disminución de riesgos para
garantizar mayor estabilidad.
 4 BIBLIOGRAFIA.

Recuperado de seguridad en aplicaciones:

https://areandina.instructure.com/courses/19329

Recuperado de blog ibis computer:

https://www.ibiscomputer.com/blog/74-buenas-practicas-de-seguridad-
informatica

Recuperado de blog calidad y excelencia:

https://www.isotools.org/2019/10/18/analisis-y-evaluacion-de-riesgos-de-
seguridad-de-la-informacion-identificacion-de-amenazas-consecuencias-y-
criticidad/

Recuperado de gadea netweb:

https://www.gadae.com/blog/como-evaluar-y-detectar-los-riesgos-informaticos-
en-la-empresa/

Recuperado de 5 aspectos fundamentales para el diagnóstico de riesgos

informáticos de tu empresa:
https://www.gb-advisors.com/es/diagnostico-de-riesgos-informaticos/

Recuperado de análisis y evaluación de riesgos informáticos:

https://acconsultors.com/analisis-evaluacion-riesgos-informaticos/