CORPORACIÓN UNIFICADA NACIONAL DE

EDUCACIÓN SUPERIOR.

CASO ESTUDIO

JORGE REQUENA VIDES

Ingeniería de Sistemas

Seguridad en Redes.

2022
 Introducción

vamos a conocer todo lo relacionado con los riesgos medida que avanzamos hacia los últimos años

de este siglo, se ha dado una rápida convergencia de estas áreas, y también las diferencias entre la

captura, transporte almacenamiento y procesamiento de información están desapareciendo con

rapidez., simplemente oprimiendo una tecla. A medida que crece nuestra habilidad para recolectar

procesar y distribuir información, la demanda de mas sofisticados procesamientos de información

crece todavía con mayor rapidez, informáticos teniendo claro que cuando se trata del análisis de

riesgos cibernéticos se trata de evaluar los diversos riesgos que afectan los sistemas de información

y pueden generar situaciones de amenaza para una empresa, como robo o intrusión, corrupción de

datos o ataques externos que impiden el funcionamiento del sistema. Priorizar los periodos de

inactividad empresarial, el análisis y la gestión de riesgos.

 GLOSARIO

RIESGO: es el impacto que se puede producir sobre un activo.

SISTEMA DE INFORMACIÓN GEOGRÁFICA: es la unificación de software hardware y datos

geográficos.

activo.

ACTIVO: es todo elemento o material digital, físico o humano que puede ser afectado y que

requiere protección

IDENTIFICACIÓN DEL RIESGO: es el proceso que permite encontrar, enumerar y caracterizar

los activos de riesgo

MATRIZ: es la unificación de elementos en forma rectangular, que permite realizar algunas

operaciones matemáticas para hacer análisis y estudios de los resultados brindados.

AMENAZA: es el evento que puede afectar los activos de la organización.

ESTIMACIÓN DEL RIESGO: es el proceso que permite asignar valores para determinar la

probabilidad y las consecuencias de un riesgo sobre un activo. VULNERABILIDAD: es la

debilidad que puede presentar un activo sobre una amenaza.

IMPACTO: es el efecto que puede generar la materialización de una amenaza sobre un

OBJETIVOS

• Objetivo general

Documentar cuales son los avances de los sistemas de información e investigar sobre los

diferentes planes de tratamiento y las definiciones de políticas para contrarrestar las

vulnerabilidades, riesgos y amenazas de los sistemas de

Objetivos específicos.

Integridad: garantizar que los datos sean verídicos.

Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos

establecidos.

Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.

Autenticación: asegurar que sólo las personas autorizadas tengan acceso.

Ayudar a la empresa a defenderse de las vulnerabilidades, amenazas y riesgos en los sistemas de

información.
IMPORTANCIA DE LA IDENTIFICACIÓN DE LOS RIESGOS INFORMÁTICOS EN UNA

RED CORPORATIVA

¿A qué se denomina riesgo Informático?

El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad

conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas.

Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de

información.

Identificar 10 posibles riesgos en el sistema informático de la empresa.

Según dicho estudio, el 15,5% de las empresas encuestadas ha aumentado sus presupuestos en
2014 para combatir estos riesgos, mientras que el 57,1% los mantendrá sin cambios. En su
elaboración han participado entidades de hasta 10.000 empleados y la mayoría coinciden en que
las vulnerabilidades que sufren hacen referencia a aspectos tales como las fugas de información,
fraude y robo de datos o la falta de desarrollo de un software seguro, entre otros. Los diez riesgos
son los siguientes:

1. Deficiente control de acceso a las aplicaciones: El 48% de los participantes ha detectado que,
en su compañía, el acceso de los trabajadores a las aplicaciones debería estar mejor controlado.

2. Existencia de vulnerabilidades web: El 47% de las empresas afirman que este año han detectado
vulnerabilidades web mediante hacking éticos que pueden permitir accesos indebidos a
información sensible de la compañía.

3. Falta de formación y concienciación: La necesidad de potenciar la formación y concienciación

en materia de seguridad de la información tanto al personal interno como a los socios de negocio
se ha detectado en un 45% de las empresas encuestadas. El factor humano es de vital relevancia
para prevenir los ciberataques avanzados.
4. Proceso de gestión de incidentes de seguridad: La inexistencia o necesidad de mejora de la
respuesta ante un incidente de seguridad ha sido identificada por el 44,6% de los interlocutores
que han participado en el estudio.

5. Existencia de cambios regulatorios: El 43% ha reflejado la complejidad de adaptarse a los

nuevos cambios regulatorios tanto legales como normativos que aplican a cada sector.

6. Control de acceso a la red: El 42% de las empresas dicen que están en riesgo debido a la falta
o, en ocasiones, inexistencia de control de los accesos de los usuarios internos y terceros tales
como proveedores o invitados a la red corporativa.

7. Fugas de información: La fuga de datos es uno de los mayores riesgos a los que se exponen las
compañías en la actualidad, según reconoce el 413% de las empresas.

8. Fraude y robo de información: El 403% de las compañías afirman que existe una gran
vulnerabilidad en los llamados filtros informativos, lo que provoca que el fraude y robo de la
información sea más común de lo que aparenta ser.

9. Falta de planificación de continuidad de negocio: Una pandemia, un pequeño incendio o un

cambio significativo sobre todo entre los miembros de la cúpula directiva de una compañía
provoca que sea estrictamente necesario contar con una planificación de la continuidad del
negocio, según un 32,5% de las empresas.

10. Desarrollo de software seguro: La creciente utilización de herramientas informáticas para

mecanizar los procesos de negocio ha provocado que el 39,8% de los encuestados identifique los
aspectos de seguridad de la información como aspectos clave en el ciclo de vida del desarrollo de
software.
 10 posibles amenazas al sistema informático

1.Contraseñas débiles.
2.Software que ya está infectado con virus.
3.Bugs.
4.Falta de cifrado de datos.
5.Falta de autorización.
6.Redireccionamiento de URL a sitios no confiables.
7.Falta de autenticación para una función crítica.
8.Carga sin restricciones de tipos de archivos peligrosos y descarga de códigos sin controles de
integridad.
9.Dependencia de entradas no confiables en una decisión de seguridad.
10.Cross-site scripting y falsificación.

Los riesgos identificados como Físicos y lógicos.

Físicos:

• Choque de eléctrico: Niveles de alto voltaje.

• Incendio: Inflamabilidad de materiales.

• Niveles inadecuados de energía eléctrica.

• radiaciones: Ondas de ruido, de láser y ultrasónicas.

• mecánicos: Inestabilidad de las piezas eléctricas.

Lógicos:

• Códigos maliciosos.
 • Spam.

• Piratería.

• Fuga de información.

• Ingeniería social.

• Intrusos informáticos.

Evolución de los Sistemas de Información

1970 -
1950 - 1960 1960 - 1970 1980 - 1990 1990 - 2000 2000 - presente
1980

Apoyo a
Procesamiento Informes de Apoyo Conocimiento
las E-Business
de datos gestión Ejecutivo administrativo
decisiones

Apoya la
Recopila, Informes y Soporte Proporcione
creación, Mayor
almacena, pantallas pre ad-hoc información
organización y conectividad,
modifica y especificados interactivo interna y
diseminación mayor nivel de
recupera para apoyar para el externa
del integración en
transacciones la toma de proceso de relevante
conocimiento todas las
cotidianas de decisiones toma de para los
empresarial aplicaciones
una empresariales decisiones objetivos
Ayuda Ayuda al
organización Ayuda a los Ayuda a estratégicos
disponible para comercio
Ayuda a los gerentes los de la
toda la electrónico global
trabajadores intermedios gerentes organización
empresa
 Ayuda a los

ejecutivos

Cuáles son las ventajas del análisis de riesgos informáticos

Las empresas que realicen un análisis de sus riesgos informáticos y de

ciberseguridad se verán beneficiadas de la siguiente manera.

• Dispondrán de una visión precisa de los activos relacionados con la información de la

empresa.

• Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar aquellos

que tengan mayor probabilidad de producirse, para así poder invertir mayores

recursos en evitarlo.

• Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso de

producirse.

• Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los

tiempos de actuación ante posibles incidentes de seguridad.

• Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos.

• Permite realizar una evaluación de los resultados, para implementar mejoras o

reforzar aspectos débiles en las medidas de seguridad.

• Garantiza la continuidad del negocio, disponiendo de planes y protocolos en caso de

incidentes graves.

• Ayuda a crear una cultura de prevención en la empresa, implicando a todas las

personas que la forman.

• Permite cumplir con las normativas legales en cuestión de seguridad

 DISEÑO MATRIZ ANÁLISIS DE RIESGO

Se diseñó una matriz de análisis de riesgo que analizará el impacto que tendría una

probabilidad de amenaza sobre un activo, esta matriz será enfocada a los sistemas de

información geográfica y será dividida en dos matrices. En el Cuadro 1, se definirán los

valores que calificaran la probabilidad de amenaza contra cada activo y el Cuadro 2 la

magnitud de daño de cada activo contra la amenaza detectada, al multiplicar entre si

estos valores se obtendrá un valor automáticamente que informara el nivel de impacto

que tendría la amenaza sobre el activo identificado

 ¿PARA QUÉ EVALUAR EL RIESGO?

La evaluación de riesgo debería ser capaz de determinar, analizar, valorar y clasificar

los riesgos específicos de la seguridad informática para determinar con certeza cuáles

de ellos causarían el mayor impacto. Pero la realidad es que no se cuenta con un área

específica salvo en giros contados y no se encargan puramente de los riesgos

informáticos. Aunque la evaluación de riesgo es altamente importante, el fin último de

esta es la administración los mismos, administrar el riesgo es una tarea crítica. En esta

administración es el contexto en el que debe establecerse un SGSI, es decir, toda

nuestra gestión debe ir enfocada a atenuar el riesgo identificado y no al contrario.

Los estándares y mejores prácticas de implementación de sistemas de gestión de

seguridad de la información detallan acciones, puntos de mejora para tecnología y

procesos que guían las acciones a tomar y de cierta manera, marcan la estrategia a

seguir para llevar el riesgo a un nivel aceptable.

Conclusión

Todos los beneficios que ofrece esta transformación digital vienen con una serie de

amenazas que comprometen la seguridad del sistema y violan la privacidad de la

información. las empresas necesitan analizar los riesgos cibernéticos y tomar medidas

para prevenir su ocurrencia o reducir sus efectos nocivos, ya que la sociedad actual

siempre avanza hacia la digitalización, con un uso intensivo de teléfonos inteligentes,

comunicación diaria en línea, uso de inteligencia artificial, big data e incluso Internet de

las cosas, donde los dispositivos domésticos también se vuelven inteligentes y

conectados.

Bibliografia

1. A Role-Based Trusted Network Provides Pervasive Security and Compliance - interview

with Jayshree Ullal, senior VP of Cisco
2. ↑ Dave Dittrich, Network monitoring/Intrusion Detection Systems (IDS) Archivado el 27 de
agosto de 2006 en Wayback Machine., University of Washington.
3. ↑ Literalmente "tarro de miel"
4. ↑ «''Honeypots, Honeynets''». Honeypots.net. 26 de mayo de 2007. Consultado el 9 de
diciembre de 2011.
5. ↑ Corletti Estrada, Alejandro (2016). Seguridad en Redes (2016). España : DarFe. ISBN 978-84-
617-5291-1.
6. ↑ Wright, Joe; Jim Harmening (2009) "15" Computer and Information Security Handbook
Morgan Kaufmann Publications Elsevier Inc p. 257
 7. ↑ «Copia archivada». Archivado desde el original el 27 de febrero de 2012. Consultado el 10
de septiembre de 2015.

Libros citados

• Libro Seguridad en Redes, isbn=978-84-617-5291-1, Corletti Estrada Alejandro, 2016

• Case Study: Network Clarity Archivado el 27 de mayo de 2016 en Wayback Machine.,
SC Magazine 2014
• Cisco. (2011). What is network security?. Retrieved from cisco.com Archivado el 14 de
abril de 2016 en Wayback Machine.
• pcmag.com Archivado el 13 de octubre de 2012 en Wayback Machine.
• Security of the Internet (The Froehlich/Kent Encyclopedia of Telecommunications vol.
15. Marcel Dekker, New York, 1997, pp. 231–255.)
• Introduction to Network Security Archivado el 2 de diciembre de 2014 en Wayback
Machine., Matt Curtin.
• Security Monitoring with Cisco Security MARS, Gary Halleen/Greg Kellogg, Cisco Press,
Jul. 6, 2007.
• Self-Defending Networks: The Next Generation of Network Security, Duane DeCapite,
Cisco Press, Sep. 8, 2006.
• Security Threat Mitigation and Response: Understanding CS-MARS, Dale Tesch/Greg
Abelar, Cisco Press, Sep. 26, 2006.
• Securing Your Business with Cisco ASA and PIX Firewalls, Greg Abelar, Cisco Press,
May 27, 2005.
• Deploying Zone-Based Firewalls, Ivan Pepelnjak, Cisco Press, Oct. 5, 2006.
• Network Security: PRIVATE Communication in a PUBLIC World, Charlie Kaufman |
Radia Perlman | Mike Speciner, Prentice-Hall, 2002. ISBN .
• Network Infrastructure Security, Angus Wong and Alan Yeung, Springer, 2009.