Ejercicio

Una cooperativa desea crear una aplicación web para que sus usuarios puedan realizar sus
transacciones on line (consultas, aportes, retiros, actualizaciones, descarga de certifica-dos,
extractos, etc.). Usted ha sido la persona seleccionada para crear una estrategia que pueda brindar
las técnicas, herramientas, políticas y protocolos que le garanticen la seguri-dad necesaria para su
buen funcionamiento. Por lo tanto, debe enviar un documento en el que explique qué acciones
aplicaría con el fin de obtener este nivel de seguridad.

Análisis

Descripción del SGSI a implementar

La cooperativa se maneja en el sector financiero. Por lo cual requiere un manejo estricto en el

tratamiento, modificación y manejos de los datos.

Se informa el uso y manejo de la ley ISO/IEC 27001. La protección de estos activos está destinada a
preservar la confidencialidad, la integridad y la disponibilidad de la información.

Por eso mismo para preservar la protección de los activos y la seguridad de la información
se maneja el enfoque de mejora continua

Para lograr esta protección de los activos se debe establecer, implantar, mantener y mejorar un
SGSI, el cual puede desarrollarse según el conocido enfoque de mejora continua denominado Ciclo
de Deming. Este enfoque está constituido por cuatro pasos: 
 Planificar: es una fase de
diseño del SGSI en la que se
evalúan los riesgos de
seguridad de la información
y se seleccionan
los controles adecuados.

Hacer: es una fase que

envuelve la implantación y
operación de los controles.

Verificar: es una fase que

tiene como objetivo revisar
y evaluar el desempeño
(eficiencia y eficacia) del
SGSI.

Actuar: en esta fase se realizan cambios periódicamente para mantener el SGSI al máximo
rendimiento

Por ultimo realizar una evaluación de riesgos sobre la aplicación, validar la vulnerabilidad y
las posibles amenazadas que se puedan genera (informar el tratamiento de riesgos),
plantear a la Cooperativa para su conocimiento y consentimiento de la implementación de
la aplicación.
Propuesta

Funcionamiento del SGSI y la aplicación

Se le informa a la Cooperativa que la implementación de la aplicación y el sistema de
seguridad que se va a manejar, se divide en los siguientes aspectos:

Por parte del cliente interno

 Se generarán formaciones al personal sobre seguridad y riesgos informáticos
como: (Spam en el correo electrónico, Phishing, Baiting, Vishing, Smishing,
Pretexting) Con el fin de generar una cultura de seguridad, mitigando la
vulnerabilidad en la información, los posibles riesgos que se puedan presentar.
 El personal contara con su respectivo usuario y contraseña, para el ingreso de la
aplicación. Este usuario estará configurado previamente para que pueda tener
acceso a lo que corresponde la en su cargo, actividades asignadas, roles en la
Cooperativa.
 Así mismo el acceso a carpetas, archivos, aplicaciones de la cooperativa,
dispositivos de salida de información (fax, impresoras), queda cubierto bajo las
restricciones implementadas de acuerdo al perfil que tenga el colaborador, con
excepción de que exista los permisos otorgados por el superior designado.
 Los permisos para navegación a internet, quedan sujetas a la restricción y políticas
de perfil del colaborador.

Por parte del cliente Externo

 Se debe orientar de la aplicación dentro del manejo para el cliente, como también
en sus “riesgos” para prevenir grietas que puedan ser aprovechadas a ataques de
ciber delincuentes, bien sea aplicando validaciones desde el lado cliente, de
ingreso de información.
 Garantizar que las aplicaciones web vayan con su correspondiente certificado de
seguridad SSL.
 El uso de doble autenticación para procesos que requieran mayor seguridad para
el cliente
  Garantizar la funcionalidad de la aplicación, servidores las bases de datos de
manera forma continua, evitando las fallas con procesos de dinero o procesos
requeridos por el cliente.
 Al tratarse el insumo (información de clientes, cuentas, información financiera) de
cuidado y estricto manejo, los permisos para navegación a internet, quedan
sujetas a la política de perfil del colaborador.

Seguridad en el servidor
 La implementación de Firewall Con él podemos dividir, permitir y bloquear tráfico tanto
interno como externo, operativas y de seguridad de la cooperativa
 Habilitar el protocolo SSH utilizar llaves en lugar de password, ayudará a administrar el
servidor de una manera más eficiente. el uso de passwords puede ser vulnerado por
ataques de fuerza bruta y con el uso de Llaves no.
 Manejo de redes privadas como DigitalOcean, la red privada está disponible en
algunas regiones con la misma amplitud que la red del Centro de Datos.
Y VPN, de la sigla en para crear conexiones seguras entre computadores remotos, en
una red privada local. permite configurar servicios como si estuviesen en una red
privada, y conectar de manera más segura.

Seguridad en la aplicación
 Por motivos de seguridad en la navegación y en el manejo de datos se van a realizar
manejos de protocolo como:(Protocolo TCP/IP, Protocolo HTTP, Protocolo FTP,
Protocolo SSH, Protocolo SSH. Manejo e implementación de Malwart.
 Implementar un cifrado SSL proteger aplicaciones que manejen datos sensibles. Para
proteger la información es configurar el servidor web y se redirija automáticamente
todas las peticiones de http a páginas cifradas.
 Se implementarán revisiones y auditorias, validación de los Firewall tanto en las
aplicaciones, como en las bases de datos, verificación del código de la aplicación,
mitigando posibles vulnerabilidades y afectaciones al sistema
 Manejo de la implementación (Defense in Dept), el cual define el manejo de capaz de
seguridad, en el cual se pueden identificar posibles ataques en curso, y salva guardar
el resto de la información
https://www.avast.com/es-es/c-social-engineering
https://gestion.pensemos.com/sistema-de-gestion-de-seguridad-de-la-informacion-que-
es-etapas
http://blog.alestra.com.mx/blog/5-tips-para-aumentar-la-seguridad-en-tu-servidor
https://geekflare.com/es/mobile-app-security-tips/