Universidad Gerardo Barrios

Facultad: Ciencia y Tecnología

Ingeniería en Sistema y Redes Informáticas

Materia: Administración de Base de Datos II

Actividad: Plan de seguridad

Docente: Ing. Gisela Yasmin Garcia Espinoza

Integrantes:

Jose Miguel Jiménez Rodríguez SMIS091319

Thomy Brandon Mendoza Romero SMIS612319

César Ismael Márquez Rubio SMIS080219

Ambar Idalia Arévalo Rivas SMIS046918

Juan José Ángel Pérez SMIS032919

Fecha de entrega: miércoles 5 de mayo, 2021

 Índice

1 Capitulo I…………………………………………………………..3
1.1 Introducción…………………………………………4
1.2 Objetivos……………………………………………..5
1.3 Planificación del trabajo (Cronograma de actividades)
…………………………………………6

2 Capitulo II…………………………………………………………..7
2.1 Situación Actual………………………………………..8
2.1.1 Descripción de la organización…………………..8
2.1.2 Actividad y entorno…………………………………8
2.1.3 Tamaño y estructura organizacional………….8-9

2.2 Análisis de riegos………………………………….…...10

2.2.1 Identificación de activos (un activo es algo que tiene valor o
utilidad en la organización para la realización de sus operaciones.)
……………………...10-12
2.2.2 identificación de amenazas y
vulnerabilidades………………………………………………16
2.2.3 Calculo de la probabilidad………………………….17
2.2.4 Evaluación de riesgo………………………………17-18
2.2.5 Calculo del riesgo residual………………………..19-20

2.3 Propuesta…………………………………………….,,,,,,,.21
2.3.1Plan de acción, control sugerido……………,,…21-22

3 Capitulo III…………………………………………………………,,23
3.1 Conclusiones……………………………………………,,.24
3.2 Recomendaciones…………………………………….,,.25

4 Capitulo IV………………………………………………………….26
4.1 Glosario…………………………………………………….27
4.2 Bibliografía………………………………………………...28
 CAPÍTULO I

Introducción

El presente proyecto es enfocado en poder implementar una mejor seguridad haciendo uso de
la información de la norma ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de
los sistemas que la procesan.
Permitiendo poder identificar los riegos o vulnerabilidades que amenazan a una empresa y
obteniendo al final un diagnóstico del estado actual de la empresa y así poder emitir las
recomendaciones necesarias que deben estar acorde a la normatividad vigente.

Actualmente la empresa hace uso de software de bases de datos y redes ya que son
herramientas estratégicas que brindan ventajas ante la necesidad de crecimiento y
competitividad a los negocios, pero pueden también ocasionar pérdidas si no se administran
de la mejor manera. Por eso que es necesario mantener y realizar evaluaciones periódicas de
estas herramientas y del personal calificado que cumpla con el objetivo de la empresa.

Como sabemos, cada día nos adentramos más y más en un mundo de las compras en línea
con lo cual facilita las compras de accesorios o prendas de ropa. Se trata de enfocar en el
aseguramiento de los controles adecuados sobre la confidencialidad, integridad y
disponibilidad de la información, a través del establecimiento de un sistema de gestión de
seguridad de la información basado en las normas ISO 7001 para que de esta forma se
garantice un tratamiento adecuado de los problemas los riesgos.

Este trabajo permitirá que la empresa pueda mejorar su seguridad y pueda evitar pérdidas de
datos que les podría generar algún perjuicio monetario, con los cual apoyándose en los
lineamientos que exige la norma ISO 207001 poder tenar un mejor control de sus actividades
que pueden poner en riesgo la información de la empresa es vital.

Objetivos

General:
Realizar un plan de seguridad para la empresa Mike Mike Store

Específicos:

Definir un listado los componentes activos dentro de la estructura de la empresa clasificados

de manera correcta.
Establecer una correcta identificación y creación de una lista de las posibles amenazas para
tener en cuenta

Elaborar un plan de seguridad de los datos de la empresa.

Planificación de trabajo (Cronograma)

 CAPÍTULO II

2.1 Situación Actual

2.1.1 Descripción de la organización

Mike Mike Store es una tienda en línea dedicada a la venta de zapatos, camiseta, pantalones,
faldas y demás productos de vestir, contando con servicios vía internet, que tiene a
disposición la creación de cuentas para nuestros clientes para poder almacenar sus datos de
tal manera que con ello pueden realizar sus compras de manera más cómoda y rápida con el
sistema recordando sus datos asociados a sus cuentas.

El cuido de los datos es un tema tomado en serio por lo que la empresa toma las medidas para
poder proteger de manera eficaz los datos confiados impidiendo el uso malintencionado o no
autorizado de ellos.

2.1.2 Actividad y entorno

Mike Mike Store es una empresa que se dedica a la venta de productos diversos en línea a
nivel nacional, en donde podemos encontrar todos los productos básicos del hogar donde para
poder comprar nos tenemos que registrar, cuya sede se encuentra en San Miguel, el entorno
de la empresa se divide en el área de venta, área de marketing, área distribución, área de
inventario.

2.1.3 Tamaño y estructura organizacional

En la estructura organizacional debe ser bien planifica para enfocarse y ver el tamaño del
objetivo de la empresa para que todo funcione con organización y poder ganar seguridad y
mejor orientación y así existen herramientas que nos ayuda a obtener esa organización y tener
un software con estructura organizacional pero lo más importante no es el tamaño sino la
complejidad de la organización.
Se debe crear una cadena al mando que funciona como una línea de autoridad que fluye desde
la más alta dirección hasta las cosas más bajas.

Nivel de centralización
Influye en el tamaño de la tienda y a tener un nivel.

Grado de especialización
Esta clave de la estructura organizacional aborda la división del trabajo. Dentro de una
organización, las tareas se distribuyen en distintos niveles.
Formalidad Estructural
Otro punto sobre el que hay que mantener cierta armonía es el grado de formalidad de la
estructura organizacional.

Formación de departamentos
Las diferentes actividades de una organización se dividen en departamentos, cada uno de
ellos con sus propios proyectos. Cuando se construye el modelo organizacional, se estudia la
necesidad de departamentalizar de forma rígida o flexible.
Formación estructural y tamaño

2.2 Análisis de riesgos

2.2.1 Identificación de activos

Tipo de Activo Activo

-Cajas registradoras
Hardware -PC
-Cámaras
-Gestor BD
-Sistema de cámaras
Software -SO de las PC
-Administradores del sistema
-Empleados con permisos
Personas limitados
 -Datos de clientes
Datos -Información del personal
-Datos de inventario
-Copias de seguridad

Equipo #1
Tipo Activo
Persona Empleados con permisos limitados
Hardware Caja registradora
Hardware Procesador: i5-8600K
Software Windows 10
Software SQL server
Datos Datos de clientes, Datos de inventario

Equipo #2
Tipo Activo
Persona Administrador del sistema
Hardware PC
Hardware Procesador: i5-8600K
Software Windows 10 Profesional
Software SQL server
Datos Datos de clientes, Datos de inventario, Información Personal, Copia de Seguridad

Control (Existente o inexistente)

Activos Amenazas Vulnerabilidades

Desgaste por mal mantenimiento Tener un control de

mantenimiento y
instrucciones para ello.
Daño de
componentes Capacitar a todos los
empleados sobre el uso de
Uso no controlado
los componentes o al menos
Hardware a los designados para ello.
Falta de control para el uso de los Almacenar o colocarlos en
componentes lugares seguros.
Robo de
Mantener un control sobre
componentes
Descuido de seguridad para el uso la ubicación de los
de componentes componentes para solo su
uso si es necesario.
 Control (Existente o inexistente)
Activos Amenazas Vulnerabilidades
Mantener diferentes
Uso no autorizado de usuario con credenciales con diferentes
Acceso no altos permisos. permisos para cada
autorizado al usuario.
sistema Usuarios que no toman medidas Capacitar al personal en
de protección y dejan brechas de toma de medidas de
seguridad. seguridad.
Software Implementar sistemas o
Falta de protecciones contra robo
programas de protección
de información.
para servidores y base de
Intento de
datos.
robo de
Capacitar a los empleados
datos.
para evitar sean usados
Ingeniería social.
para acceder a información
de manera no autorizada.

Control (Existente o inexistente)

Activos Amenazas Vulnerabilidades
Confidencialidad de cada
Uso no autorizado de credenciales usuario para sus
con altos permisos. respectivas credenciales.
Suplantación
de identidad Uso de credenciales y
Suplantación de identidad. protección de estas para
cada usuario.
Personas Falta de conocimiento para el uso Capacitaciones de uso de
de equipo. equipo para el personal.
Daño de
datos o Capacitar a los empleados
componentes para evitar sean usados
Ingeniería social.
para acceder a información
de manera no autorizada.

Control (Existente o inexistente)

Activos Amenazas Vulnerabilidades
Instalación y uso de
Métodos de hackeo para robo de medidas de protección
Robo de datos información. como softwares.
confidenciales
. Análisis y mantenimientos
Falta de protección en servidores
controlados.
Datos y bases.

Eliminación, Creación de copias de

Eliminaciones de información. seguridad.
alteración o
perdida de Fallo en servidores o daño en Copias de seguridad en la
datos estos. nube.
Valoración de impacto

Software
Nivel Descripción Confidencialidad integridad Disponibilidad

1 Bajo Si se divulga Si se altera Si se ausenta este

2 Medio
3 Alto
información sobre este información o servicio no será muy
no seria muy relevante configuraciones no relevante para las
en términos legales o de será muy relevante operaciones que se
imagen. legalmente ni en llevan
términos de
imagen
La divulgación de La alteración de Si este servicio no se
información de este configuraciones o encuentra disponible
puede llegar a generar información pueden generar perdidas
consecuencias legales o generara y problemas legales y de
de imagen. problemas legales imagen
y de imagen
Si se llega a divulgar o La alteración de SI este servicio no se
filtrar información se información o encuentra disponible se
generarán grandes configuraciones generarán grades
consecuencias legales o generara altas consecuencias de
de imagen. consecuencias imagen, legales y
legales y de perdidas.
imagen.

Activo Integridad Disponibilidad Confidencialidad Impacto

2 3 3 3
-Gestor BD
-Sistema de 1 1 1 1
cámaras
-SO de las 2 3 2 2
PC
Hardware
Nivel Descripción Confidencialidad integridad Disponibilidad

1 Bajo Si se divulga Si se alteran Si estos componentes no

información acerca de información o están disponibles no
 este componente no será configuraciones de abrían consecuencias
relevante y no generará este componente relevantes
prejuicios ni no será relevante
consecuencias.
2 Medio SI se divulga Si se altera la Si no se encuentran
información sobre estos información o disponibles estos
componentes generaría configuración de componentes habría
prejuicios legales y de estos componentes consecuencias
imagen. abrían financieras y legales
consecuencias
legales y de
imagen
3 Alto Divulgación de Si se altera Si estos componentes no
información de este tipo información o están disponibles
de componente generaría configuraciones de generaran grandes
grandes consecuencias estos componentes consecuencias legales,
legales y de imagen abrían grandes financieras y de imagen.
consecuencias
legales y de
imagen

Personas
Nivel Descripción Confidencialidad integridad Disponibilidad

1 Bajo Si estas personas Si esta persona no Si esta persona no esta

divulgan información no se encuentra en la disponible para ejercer su
habría mucha relevancia. capacidad de cargo no sería relevante
Activo Integridad Disponibilidad laburar no sería
Confidencialidad Impacto
-Impresoras 2 2 relevante1 2
2 -PC Medio 2 Si estas personas
2 Si esta persona2 no SI esta persona
2 no se
-Cámaras 1 divulgan información
2 se encuentra1 en encuentra 1disponible para
habría consecuencias capacidades de ejercer su cargo habría
legales de imagen y de laburar habría consecuencias financieras
integridad. consecuencias y de imagen
financieras y de
imagen
3 Alto Si estas personas revelan Si estas personas Si esta persona no se
información habría no se encuentran encuentra disponible para
 grandes consecuencias en capacidades de ejercer su cargo habrían
legales de imagen y de laburar habría altas consecuencias
integridad grandes financieras de imagen y
consecuencias legales
financieras de
imagen y legales

Activo Integridad Disponibilida Confidencialidad Impacto

d
Administradores 3 2 3 3
del sistema
Empleados con 1 1 3 2
permisos limitados

Datos

Activo Integridad Disponibilidad Confidencialidad Impacto

-Datos de clientes 3 2 3 3
-Información del 2 1 2 2
 personal
-Datos de 2 2 1 2
inventario
-Copias de 3 3 3 3
seguridad

2.2.1 identificación de amenazas y vulnerabilidades

Es muy importante diferenciar claramente entre estos dos atributos de un riesgo, porque la
existencia del riesgo, en sí, depende de la coexistencia de una amenaza y una vulnerabilidad.

Por un lado, las vulnerabilidades son defectos o debilidades en un activo. Por el otro, las
amenazas pueden desencadenar o explotar una vulnerabilidad para comprometer algún
aspecto del activo.

Así también como las normas ISO 27001 nos ayudan a evitar ciertos problemas

Las Amenazas Las Vulnerabilidades

 información ilegal  Interfaz de usuario complicada
 Ocultar identificación de usuario  Contraseñas predeterminadas no
 Daños causados por un tercero modificadas
 Revelación de información  Eliminación de medios de
 Divulgación de contraseña almacenamiento sin eliminar datos
 Fuga de información  Clasificación inadecuada de la
 Código malicioso información
 Contaminación  Mantenimiento inadecuado
 Error de software  Reemplazo inadecuado de equipos
 Hurtos o vandalismo viejos
 Acceso físico no autorizado  Pruebas de software insuficientes
 Error de usuario  Falta de documentación interna
 Falta de políticas para el uso de la
 criptografía
 Copia no controlada de datos
 Software desmotivado
 Conexiones a red pública
desprotegidas
 Los derechos del usuario no se
revisan regularmente

2.2.3 Calculo de probabilidad

Métrica para la probabilidad de ocurrencia

Nivel Descriptor Descripción
1 Improbable Ocurrencia en circunstancias excepcionales
2 Probable Podría ocurrir en algún momento.
3 Frecuente Ocurre en la mayoría de las circunstancias.

2.2.4 Evaluación de Riesgos

2.2.4.1 Calculo de Riesgo

 Activo Hardware
Probabilidad de
Activos Impacto Amenazas Vulnerabilidades Riesgo Bruto
ocurrencia
Desgaste por mal
mantenimiento
2 6
Daño de
componentes
Uso no controlado 1 3
Hardware 3
Falta de control para
el uso de los
1 3
componentes
Robo de
componentes
Descuido de
seguridad para el uso 1 3
de componentes

 Activo Software
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
 Uso no autorizado de
usuario con altos 1 3
Acceso no permisos.
autorizado Usuarios que no toman
al sistema medidas de protección
2 6
y dejan brechas de
Software 3
seguridad.
Falta de protecciones
Intento de contra robo de
1 3
robo de información.
datos.
Ingeniería social. 1 3

 Activo Personas
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
Uso no autorizado de
credenciales con altos 1 2
Suplantación permisos.
de identidad
Suplantación de
1 2
Personas 2 identidad.
Falta de conocimiento
Daño de para el uso de equipo. 2 4
datos o
componentes
Ingeniería social. 1 2

 Activo Datos
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
Métodos de hackeo
para robo de 2 6
Robo de datos
información.
confidenciales
. Falta de protección
1 3
Datos 3 en servidores y bases.

Eliminación, Eliminaciones de
2 6
alteración o información.
perdida de Fallo en servidores o
datos 2 6
daño en estos.
2.2.5 Calculo de riesgo residual

Controles existentes
Métrica para evaluación del control
Nivel Descriptor Descripción
1 Inexistente Si el control no está implementado no mitiga el riesgo 0%
Si el control esta implementado es considerado deficiente si
2 Deficiente
mitiga el riesgo entre 1% y 25%
Si el control esta implementado es considerado regular si
3 Regular
mitiga el riesgo entre 26% y 50%
Si el control esta implementado es considerado bueno si
4 Bueno
mitiga el riesgo entre 51% y 75%
Si el control esta implementado es considerado excelente si
5 Excelente
mitiga el riesgo entre 76% y %

Cálculo del riesgo residual

Métrica para el cálculo del riesgo residual

 Activo Hardware

Amenaza Vulnerabilidad Riesgo Controles Valoración Riesgo Nivel de

 (Residual aceptación
(Bruto) existentes del control
) del riesgo
Desgaste por mal Sin
6 1 10 Moderado
Daño de mantenimiento control
componentes Sin
Uso no controlado 3 1 5 Aceptable
control
Falta de control
Sin
para el uso de los 3 1 5 Moderado
Robo de control
componentes
componentes
Descuido de
Sin
seguridad para el 3 1 5 Moderado
control
uso de componentes

 Activo Software

Nivel de
Vulnerabilida Riesgo Controles Valoración Riesgo
Amenaza aceptación
d (Bruto) existentes del control (Residual)
del riesgo
Uso no
Seguridad
autorizado de
3 en las 4 2 Aceptable
usuario con
maquinas
altos permisos.
Acceso no
Usuarios que
autorizado
no toman
al sistema Seguridad
medidas de
6 en las 4 4 Aceptable
protección y
maquinas
dejan brechas
de seguridad.
Falta de
Antivirus
protecciones
Intento de 3 en los 3 3 Aceptable
contra robo de
robo de equipos
información.
datos.
Ingeniería
3 Sin control 1 5 Moderado
social.

 Activo Personas

Nivel de
Valoració
Vulnerabilida Riesgo Controles Riesgo aceptació
Amenaza n del
d (Bruto) existentes (Residual) n del
control
riesgo
Uso no
Contraseñas
autorizado de
del
Suplantació credenciales 2 4 2 Aceptable
administrado
n de con altos
r
identidad permisos.
Suplantación Carnet del
2 4 2 Aceptable
de identidad. empleado
Daño de Falta de 4 Curso del uso 3 3 Aceptable
datos o conocimiento del equipo
 para el uso de
componente equipo.
s Ingeniería
2 Sin control 1 5 Moderado
social.

 Activo Datos

Valoració Nivel de
Vulnerabilida Riesgo Controles Riesgo
Amenaza n del aceptación
d (Bruto) existentes (Residual)
control del riesgo
Métodos de
Antivirus
hackeo para
6 en los 3 6 Moderado
robo de
Robo de datos equipos
información.
confidenciales
Falta de
. Antivirus
protección en
3 en los 3 3 Aceptable
servidores y
equipos
bases.
Eliminaciones
Sin
Eliminación, de 6 1 10 Moderado
control
alteración o información.
perdida de Fallo en
Sin
datos servidores o 6 1 10 Moderado
control
daño en estos.
Propuesta
2.3.1 Plan de acción – control sugerido

Como plan de acción, como grupo de trabajo, se ha pensado en ofrecer un mejor

sistema del que se tiene actualmente en la empresa.
Este programa, contendrá un login con un método seguro de inicio de sesión,
este método es llamado PDO.

Utilizando el lenguaje de programación PHP, podemos implementar fácilmente

este método. Este método consiste en proporcionar una capa de abstracción
de acceso a datos, lo que significa que, independientemente de la base de datos
que se esté utilizando, se emplean las mismas funciones para realizar consultas
y obtener datos. PDO no proporciona una abstracción de bases de datos; no
reescribe SQL ni emula características ausentes.

Esto, nos evita muchos problemas como por ejemplo las inyecciones SQL, entre
otras. Ya que sabemos que es de suma importancia mantener a salvo los datos
de la empresa en general.

Esta, es la pantalla de inicio

Lo que hacemos, es implementar varios métodos que están dentro del PDO,
como por ejemplo quitar los “$”, para las variables de usuario y contraseña, esto
evitará alguna inyección SQL maliciosa a futuro, ya que esos dos parámetros
estarán concebidos de manera puntual.
 CAPITULO III

3.1 Conclusiones

-Se creó un plan de seguridad con relación a un sistema demo que se les
presentó. Este contenía el control PDO.

-Se les planteo de forma clara y precisa nuestros objetivos para con ellos.

-Dieron información muy clara de lo que necesitaban en cuanto a seguridad de

los datos, ya que eso es lo más importante para esta empresa, proteger sus datos.
Tanto como personal y de los usuarios.
-Se dio nuestro punto de vista en cuanto a las deficiencias y vulnerabilidades
que se tenían en la empresa hasta el día de hoy.

-De cierta manera, manifestaron un agrado con lo que se les ofreció, pero no se
llegó a un consenso en general.

3.2 Recomendaciones

-Implementar los controles sugeridos en cuanto a la seguridad de los datos.

-Llevar un orden de las deficiencias que se tienen a corto plazo, para en un

futuro saber qué se puede hacer ante ello.

-Controlar de forma mejor los activos que se tienen en la empresa, es decir

categorizarlos a lo que cada activo pertenece.
CAPITULO IV
4.1 Glosario