UNIVERSIDAD INTERNACIONAL DE LA RIOJA EN

MÉXICO

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ANÁLISIS DE RIESGOS INFORMÁTICOS

PROFESOR: FEDERICO EDUARDO VIDAL MARTÍNEZ

ACTIVIDAD 3: ELABORACIÓN DEL DOCUMENTO DE

METODOLOGÍA DE GESTIÓN DE RIESGOS E SEGURIDAD DE
LA INFORMACIÓN DE UNA ORGANIZACIÓN.
ÍNDICE

Introducción............................................................................................................................3
Descripción del caso...............................................................................................................3
Primera Parte. Sistema de gestión de seguridad informática...........................................4
1. Proceso de planificación de SGSI....................................................................................4
1.1 Preparación...................................................................................................................4
1.1.1 Compromiso de la Dirección de la entidad con la seguridad informática..............5
1.1.2 Seleccionar y preparar a los miembros del equipo que participará en el diseño e
implementación del SGSI.......................................................................................................5
1.1.3 Recopilar información de seguridad........................................................................5
1.2 Determinación de las necesidades de protección.........................................................5
1.2.1 Caracterización del sistema informático..................................................................6
1.2.2 Identificación de las amenazas sobre el sistema informático...................................6
1.2.3 Estimación del riesgo sobre los bienes informáticos...............................................6
1.3 Establecimiento de los requisitos de Seguridad Informática........................................7
1.4 Selección de los controles de Seguridad informática..................................................7
1.4.1 Políticas de seguridad informática..........................................................................7
1.4.2 Medidas y procedimientos de Seguridad Informática.............................................8
1.5 Organización de la seguridad informática....................................................................8
1.5.1 Organización interna...............................................................................................8
1.5.2 Asignación de responsabilidades sobre Seguridad Informática..............................8
1.6 Elaboración del Plan de Seguridad Informática............................................................8
Segunda Parte. Estructura y contenido del Plan de Seguridad........................................9
1. Alcance del Plan de Seguridad Informática.....................................................................9
2. Caracterización del Sistema Informático..........................................................................9
3. Resultados del Análisis de Riesgos.................................................................................10
4. Políticas de Seguridad Informática.................................................................................10
5. Responsabilidades...........................................................................................................11
6. Medidas y Procedimientos de Seguridad Informática....................................................12
6.1 Control de medios informáticos..................................................................................12
6.2 Del personal.................................................................................................................12
6.3 Seguridad de operaciones............................................................................................12
6.4 Respaldo de la información.........................................................................................13
6.5 Gestión de incidentes de seguridad.............................................................................13
Conclusión.............................................................................................................................14
Referencias............................................................................................................................14

2
INTRODUCCIÓN
Sabemos que la información es el activo más importante de una organización, por ello
entendemos la importancia de contar con un sistema sólido para administrarla y protegerla.
Para ello podemos apoyarnos en un Sistema de Gestión de Seguridad de la Información,
que es básicamente un conjunto de políticas de administración de la información,
procedimientos y directrices junto a los recursos y actividades asociados que son
administrados colectivamente por una organización, en la búsqueda de proteger sus activos
de información esenciales, puede definirse también como un enfoque sistemático para
establecer, operar, monitorear, revisar, mantener y mejorar la seguridad de la información
de una organización y lograr sus objetivos comerciales y/o de servicio. Teniendo en cuenta
que la seguridad de la información es un tema crítico e importante, es necesario conocer
este tipo de técnicas o metodologías para poder identificar amenazas o puntos de debilidad
en los procesos de la organización o en la infraestructura, perder información o sufrir un
ataque puede llegar a ser muy perjudicial para la organización, y traer consecuencias a la
misma, desde la pérdida o filtración de información hasta el cese de operaciones debido a
malfuncionamiento de la infraestructura a causa de un ataque informático, estas
metodologías poseen aparte de procedimientos, una serie de buenas o mejores prácticas que
podemos implementar en la organización para reducir considerablemente el peligro de estar
expuestos a algún ataque, o en caso de que sea inevitable la incidencia, reducir el impacto
al mínimo y proveer un plan de recuperación rápido, para evitar pérdidas a la empresa por
el cese de operaciones.

DESCRIPCIÓN DEL CASO

Para esta actividad, vamos a tomar como ejemplo el caso de una empresa que se vio
afectada por un ataque de ransomware, este ataque consiste en la encriptación de los
archivos de equipos y servidores y los deja inutilizables, para recuperar sus sistemas, se
debe pagar un rescate al atacante por la cantidad solicitada, habitualmente en Bitcoin, y en
sumas exageradas, y dicho rescate no garantiza la liberación de los equipos. El ataque
afectó alrededor de un 65% de los equipos que conforman la infraestructura de la
organización, incluyendo servidores con aplicativos críticos, como DHCP y Active
Directory, por lo cual la organización tuvo que parar actividades debido a que sus
infraestructura no podía operar con normalidad, se tenía una solución especializada en
ataques de este tipo, la cual no fue configurada de manera adecuada y básicamente fue una
de las causas que permitió la incidencia en la organización, adicional, tampoco se contaba
con alguna solución de backup por lo que la recuperación de los sistemas tuvo que
comenzar desde cero, para los ambientes virtualizados no se contaba con sus respectivos
snapshots, por lo que también tuvieron que ser desplegados desde cero, el objetivo de esta
actividad será el adecuar un sistema de gestión de seguridad de la información
ejemplificando los procesos que se pudieron haber seguido para evitar el incidente, o en su
defecto, disminuir el impacto al mínimo y tener listo un plan de recuperación. En la
elaboración del sistema de gestión de la seguridad de la información se han utilizado
conceptos de las normas de la serie ISO27000, en particular de las normas ISO 27001
Sistemas de Gestión de Seguridad de la Información, e ISO27002 Buenas prácticas en los
Sistemas de Seguridad de la Información

3
Primera parte. Sistema de Gestión de la Seguridad Informática
El SGSI se compone de cuatro procesos básicos:

Planificar

Actuar Hacer

Requisitos y expectativas
de seguridad Seguridad Gestionada
Verificar

. Planificar (Establecer el SGSI): Establecer las políticas, los objetivos, procesos y

procedimientos de seguridad necesarios para gestionar el riesgo y mejorar la seguridad
informática, con el fin de entregar resultados acordes con las políticas y objetivos globales
de la organización.
. Hacer (Implementar y operar el SGSI): Tiene como objetivo fundamental garantizar una
adecuada implementación de los controles seleccionados y la correcta aplicación de estos.
. Verificar (Revisar y dar seguimiento al SGSI): Evaluar y, en donde sea aplicable, verificar
el desempeño de los procesos contra la política y los objetivos de seguridad y la experiencia
práctica, y reportar los resultados a la dirección, para su revisión.
. Actuar (Mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas
basadas en los resultados de la verificación y la revisión por la dirección, para lograr la
mejora continua del SGSI.

1. Proceso de planificación del SGSI

Objetivo principal: El análisis y evaluación de los riesgos de seguridad y la selección de
controles adecuados
En esta primera etapa se crean las condiciones para la realización del diseño,
implementación y gestión del Sistema de Seguridad Informática, para lo cual se realiza un
estudio de la situación del sistema informático desde el punto de vista de la seguridad, con
el fin de determinar las acciones que se ejecutarán en función de las necesidades detectadas
y con ello establecer las políticas, los objetivos, procesos y procedimientos de seguridad
apropiados para gestionar el riesgo y mejorar la seguridad informática, obteniendo
resultados conformes a las políticas y a los objetivos globales de la organización.

1.1 Preparación
Durante la preparación se crean las condiciones para el diseño e implementación del SGSI,
considerando los aspectos siguientes:

1. Asegurar el compromiso de la dirección

2. Seleccionar y preparar a los miembros del equipo que participará en el diseño e
implementación del SGSI
3. Recopilar información de seguridad

4
1.1.1 Compromiso de la dirección de la entidad con la Seguridad
Informática
La dirección apoyará activamente la seguridad dentro de la organización mediante una
orientación clara, compromiso demostrado y la asignación explícita de las
responsabilidades de seguridad informática y su reconocimiento:

. Asegurando que los objetivos de seguridad informática estén identificados, cumplen los
requisitos de la organización y están integrados en los procesos principales
. Formula, revisa y aprueba las políticas de seguridad informática y revisa su efectividad
. Proporciona los recursos necesarios para la seguridad
. Aprueba la asignación de los roles específicos y responsabilidades en seguridad
informática en la organización
. Asegura que la implementación de los controles de seguridad informática sea coordinada
en toda la organización

1.1.2 Seleccionar y preparar a los miembros del equipo que participará en

el diseño e implementación del SGSI
El proceso de diseño e implementación del SGSI no debe ser realizado por una sola persona
o por un grupo de personas de una misma especialidad, sino que debe ser el resultado de un
trabajo multidisciplinario en el que participen todos aquellos que de manera integral pueden
garantizar el cumplimiento de los objetivos planteados, el equipo de diseño e
implementación se puede conformar por:
1. Dirigentes y funcionarios que a los diferentes niveles responden por la información que
se procesa en las tecnologías
2. Personal de informática, que domina los aspectos técnicos necesarios para la
implementación de los controles de seguridad
3. Profesionales de la protección, a partir de su responsabilidad en la custodia de los bienes
informáticos y otros que se consideren de acuerdo con su perfil

1.1.3 Recopilar información de Seguridad

Durante el proceso de preparación se reunirá toda la información que facilite el diseño e
implementación del SGSI, para lo cual se utilizan los documentos normativos y
metodológicos que existan sobre el tema, documentación de aplicaciones y sistemas en
explotación en la organización, documentación de incidentes ocurridos en la entidad o en
otras organizaciones afines, tendencias de seguridad nacionales e internacionales, así como
otros materiales que faciliten su realización.

1.2 Determinación de las necesidades de protección

Las necesidades de protección del sistema informático se establecen mediante la realización
de un análisis de riesgos, que es el proceso dirigido a determinar la probabilidad de que las
amenazas se materialicen sobre los bienes informáticos e implica la identificación de los
bienes a proteger, las amenazas que actúan sobre ellos, su probabilidad de ocurrencia y el
impacto que puedan causar. La realización del análisis de riesgos debe proporcionar:
a) Una detallada caracterización del sistema informático objeto de protección
b) La creación de un inventario de bienes informáticos a proteger

5
c) La evaluación de los bienes informáticos a proteger en orden de su importancia para la
organización
d) La identificación y evaluación de amenazas y vulnerabilidades
e) La estimación de la relación importancia-riesgo asociada a cada bien informático

1.2.1 Caracterización del sistema informático

Para el diseño e implementación de cualquier sistema es imprescindible el conocimiento
pleno del objeto sobre el cual se quiere diseñar o implantar el mismo, para ello lo mas
apropiado es precisar los elementos que permitan identificar las especificidades de éste, la
caracterización del sistema informático incluye la determinación de los bienes informáticos
que requieren ser protegidos, su valoración y clasificación según su importancia, una
posible agrupación por categorías que puede ayudar a la identificación de los bienes
informáticos a proteger podría ser:
. Hardware: redes de diferente tipo, servidores y estaciones de trabajo, computadoras
personales (incluyendo portátiles), soportes magnéticos y ópticos, medios informáticos
removibles, líneas de comunicaciones, módems, ruteadores, concentradores, entre otros
. Software: programas fuentes, programas ejecutables, programas de diagnóstico,
programas utilitarios, sistemas operativos, programas de comunicaciones, entre otros
. Datos: durante la ejecución, almacenados en discos, información de respaldo, bases de
datos, trazas de auditoria, en transito por los medios de comunicaciones, entre otros
. Documentación: de programas, de sistemas, de hardware, de procedimientos de
administración, entre otros

Un resultado inmediato de la caracterización del sistema informático debe ser la

confrontación de un listado que contenga la relación de los bienes informáticos
identificados y clasificados según su importancia.

1.2.2 Identificación de las amenazas sobre el sistema informático

Una vez que los bienes informáticos que requieren protección sean identificados y
valorados según su importancia es necesario identificar las amenazas sobre estos y estimar
el daño (impacto) que puede producir su materialización. Para cada bien informático a
proteger los objetivos fundamentales de seguridad son la confidencialidad, la integridad
y la disponibilidad, por lo que hay que determinar cada amenaza sobre la base de como
puede afectar a estas características de la información. El peso que cada una de estas
características tiene para los bienes informativos varia de una entidad a otra. Algunas de las
amenazas más comunes son las siguientes:
. Perdida, corrupción o modificación de información
. Sustracción, alteración o perdida de equipos o componentes
. Divulgación de información
. Interrupción de servicios

1.2.3 Estimación del riesgo sobre los bienes informáticos

La estimación del riesgo sobre cada bien informático se determina considerando las
probabilidades de materialización de las amenazas que actúan sobre el mismo. Esto puede
ser realizado de forma descriptiva (riesgo alto, medio, bajo) o de forma numérica asignando
valores entre cero y uno (0 si la probabilidad de que se materialice la amenaza es nula y 1 si

6
es máxima). La evaluación de los riesgos posibilita conocer que bienes informáticos, o que
áreas en particular están sometidas a un mayor peso de riesgo y su naturaleza, lo que
permite a selección adecuada de los controles de seguridad que deben ser establecidos en
cada uno de los casos, garantizándose de esta manera una correcta proporcionalidad por
medio de una adecuada relación entre costos y beneficios.

1.3 Establecimiento de los requisitos de Seguridad Informática

Parte esencial del proceso de planificación consiste en la identificación de los requisitos de
seguridad de la organización. Existen tres fuentes principales:
1. La determinación de las necesidades de protección de la organización, durante la cual se
identifican los bienes informáticos más importantes, las amenazas a que están sometidos, se
evalúa la vulnerabilidad y la probabilidad u ocurrencia de las amenazas y se estima su
posible impacto
2. El conjunto de requisitos instituidos por obligaciones contractuales, normas legales y
técnicas que debe satisfacer la organización
3. Los principios, objetivos y requisitos que forman parte del procesamiento de la
información que la organización ha desarrollado para apoyar sus operaciones

Los requisitos de seguridad se identifican mediante la evaluación de los riesgos. El gasto en

controles debe equilibrarse con el prejuicio para la organización resultante de los fallos de
seguridad (costo-beneficio).

1.4 Selección de los controles de Seguridad informática

Antes de considerar el tratamiento de los riesgos, la organización decidirá los criterios para
determinar si pueden ser aceptados o no, un riesgo puede ser aceptado si, por ejemplo, se
determina que es bajo o que el costo de su tratamiento no es rentable para la organización.
Para cada uno de los riesgos identificados se tomará una decisión sobre su tratamiento. Las
opciones posibles para el tratamiento del riesgo incluyen:
. Aplicar controles apropiados para reducir los riesgos
. Aceptar riesgos de manera consciente y objetiva, siempre que satisfagan claramente la
política y los criterios de la organización para la aceptación de riesgos
. Evitar riesgos, no permitiendo las acciones que propicien los riesgos
. Transferir los riesgos a otras partes, por ejemplo, aseguradores o proveedores

1.4.1 Políticas de seguridad informática

El objetivo fundamental de la definición de las políticas de seguridad informática consiste
en proporcionar orientación y apoyo de la dirección para la seguridad informática, de
acuerdo con los requisitos de la organización y con las regulaciones y leyes vigentes. Las
políticas de seguridad definen los “qué”: qué debe ser protegido, qué es más importante,
qué es más prioritario, qué está permitido y qué no lo está y qué tratamiento se le darán a
los problemas de seguridad. Las políticas de seguridad en si mismas no dicen “cómo” las
cosas son protegidas, esto es función de las medidas y procedimientos de seguridad.
Comenzar con la definición de las políticas de seguridad a partir de los riesgos estimados
debe asegurar que las medidas y procedimientos proporcionen un adecuado nivel de
protección para todos los bienes informáticos. Algunas de las interrogantes que deben ser
resueltas al diseñar una política de seguridad con las siguientes:

7
1. ¿Qué estrategia se adoptará para la gestión de la seguridad informática?
2. ¿A quien se le permite utilizar los bienes informáticos?
3. ¿Quién esta autorizado para garantizar el acceso y aprobar el uso de los bienes
informáticos?
4. ¿Quién debe tener privilegios de administración de los sistemas?
5. ¿Cuáles son los derechos y responsabilidades de los usuarios?
6. ¿Cuáles son los derechos y responsabilidades de los administradores de sistemas frente a
los de los usuarios?
7. ¿Qué hacer con la información clasificada y limitada?
8. ¿Qué hacer ante la ocurrencia de un incidente de seguridad?

1.4.2 Medidas y procedimientos de Seguridad Informática

Las medidas y procedimientos de seguridad que se implementen en correspondencia con las
políticas definidas conforman el cuerpo del sistema de seguridad diseñado y representan la
línea de defensa básica de protección de los bienes informáticos, por lo cual es sumamente
importante su selección adecuada, de forma tal que cubran las amenazas identificadas
durante el proceso de evaluación de riesgos, implementándolas de una manera rentable. Las
medidas y procedimientos que se establezcan serán definidas de manera suficientemente
clara y precisa, evitando interpretaciones ambiguas por parte de los responsabilizados en su
cumplimiento. Los procedimientos de prevención, por el contrario, no tienen como función
prevenir ni detectar la materialización de determinadas amenazas, sino establecer las
acciones que se deben ejecutar cuando una amenaza ya se ha materializado, afectando
parcial o totalmente los bienes informáticos.

1.5 Organización de la seguridad informática

Con el objetivo de gestionar la seguridad informática de la entidad se establecerá un marco
apropiado para iniciar y controlar su implementación dentro de la organización.

1.5.1 Organización interna

La dirección aprobará las políticas de seguridad informática de la entidad, asignará roles de
seguridad, coordinará y revisará la implementación de la seguridad a través de la
organización.

1.5.2 Asignación de responsabilidades sobre Seguridad Informática

Se definirán las responsabilidades de seguridad informática del personal vinculado con el
sistema informático e acuerdo con su participación ene l mismo, la asignación de
responsabilidades de seguridad informática se hará en correspondencia con las políticas de
seguridad informática, definiéndose claramente las responsabilidades asociadas con la
protección de los bienes informáticos y para la ejecución de procesos específicos de
seguridad, estas responsabilidades serán complementadas, de ser necesario, con medidas y
procedimientos específicos.

1.6 Elaboración del Plan de Seguridad Informática

Una vez cumplidas las actividades anteriores, el siguiente paso es la elaboración del Plan de
Seguridad informática, como constancia documentada del Sistema de seguridad informática

8
diseñado y constituye el documento básico que recoge claramente las responsabilidades de
cada uno de los participantes en el proceso informático y establece los controles que
permiten prevenir, detectar y responder a las amenazas que gravitan sobre el sistema
informático de cada entidad.

Segunda Parte. Estructura y contenido del Plan de Seguridad

Los componentes del Plan de seguridad informática se estructuran de la forma siguiente:
1. Alcance del Plan de seguridad informática
2. Caracterización el sistema informático
3. Resultados del análisis de riesgos
4. Políticas de seguridad informática
5. Responsabilidades
6. Medidas y procedimientos de seguridad informática
6.1 Control de medios informáticos
6.2 De personal
6.3 Seguridad de operaciones
6.4 Respaldo de información
6.5 Gestión de incidentes

1. Alcance del Plan de Seguridad Informática

El presente Plan de Seguridad Informática es aplicable en su totalidad en las áreas de la
oficina central de la empresa “X” que se encuentran en el edificio situado en Av.
Constituyentes de Nuevo León, No.1201 Col. Linda Vista, en el municipio de Monterrey,
estado de Nuevo León, México. Las políticas expresadas en este plan son de obligatorio
cumplimiento para todo el personal de la Empresa “X”.

2. Caracterización del Sistema Informático

El Sistema Informático de la Empresa “X” está conformado por servidores, computadoras
de mesa y equipos portátiles, en su totalidad conectadas en red, la red local abarca todas las
áreas situadas en el local ubicado en la Av. Constituyentes de Nuevo León No.1201, Para la
gestión de la red se cuentan con un ambiente virtualizado en un equipo HP Enterprise,
utilizando un sistema VMware ESXi, donde se alojan servidores con sistemas operativos
Windows Server 2008 y Windows Server 2016. Los servidores tienen la función de:
controlador de dominio, servidor DHCP, aplicaciones de uso interno, bases de datos y
correo electrónico. Los servicios implementados en la red son navegación a Internet, correo
electrónico y transferencia de ficheros, la navegación y el correo tienen alcance nacional o
internacional en dependencia de lo aprobado para cada usuario dependiendo de sus
necesidades.

Las aplicaciones y bases de datos en explotación son:

. Sistema Contable (CONTPAQi)
. Sistema de Monitoreo (SolarWinds Network Performance Monitor)
. Base de datos de aplicativos (Microsoft SQL Server 2016 SP1)

El cableado de la red esta soportado por cable UTP categoría 5, con capacidades de
100Mbits, con topología estrella, protegido con canaletas, las estaciones de trabajo se
agrupan por áreas
9
o departamentos a partir de switches que van conectados al firewall principal, además, se
cuenta con dos puntos de acceso inalámbrico (Access Point) a la red de Internet, uno en la
recepción y otro en la sala de juntas principal.
La conexión con el exterior se realiza disponiendo de una línea arrendada de 100 Mbits
conectada directamente al proveedor de servicios de Internet.
El edificio de Av. Constituyentes de Nuevo León tiene buenas condiciones constructivas,
adecuadas tanto para la protección como para la preservación de los equipos y la visibilidad
de las pantallas desde el exterior es prácticamente nula. El personal que opera los equipos
posee conocimientos básicos y la preparación necesaria para su empleo y en la mayor parte
de los casos tiene nivel medio o superior.

3. Resultados del Análisis de Riesgos

Los bienes informáticos más importantes para proteger son:
. La red de trabajo interna del establecimiento
. El servidor de Monitoreo (SolarWinds)
. El sistema contable (CONTPAQi)
. El equipo virtualizador y sus máquinas virtuales

Las amenazas más importantes por considerar de acuerdo con el impacto que pudieran tener
sobre la empresa son:
. El acceso no autorizado a la red, tanto producto de un ataque externo como interno
. La pérdida de disponibilidad de las máquinas virtuales o del servicio de algún aplicativo
. La fuga de información clasificada
. Sustracción, alteración o perdida de datos

Las áreas sometidas a un mayor riesgo y las amenazas que lo motivan son:
. El departamento de redes (acceso no autorizado a los equipos del site y pérdida de
disponibilidad)
. El departamento de ventas (alteración, pérdida o fuga de datos confidenciales y sensibles)
. El área de sistemas (pérdida de disponibilidad del sistema de monitoreo, pérdida o fuga de
datos de logs de monitoreo)

4. Políticas de Seguridad Informática

. Las propuestas de iniciativas orientadas a mejorar el sistema de seguridad informática se
aprobarán por el Consejo de Dirección de la Empresa.
. El personal correspondiente deberá estar capacitado en los aspectos relativos a la
seguridad informática
. Los usuarios de las tecnologías informáticas y de comunicaciones responden por su
protección y están en la obligación de informar cualquier incidente o violación que se
produzca a su jefe inmediato
. Todos los bienes informáticos serán identificados y controlados físicamente hasta nivel de
componentes
. Se debe tener respaldo semanal de todos los equipos que tengan una función importante
sin excepción
. En caso de violación de la seguridad informática, se comunicará al jefe inmediato superior
y al departamento de redes para analizar lo ocurrido y proponer la medida correspondiente

10
5. Responsabilidades
Estructura organizacional de la Empresa “X”
Director General

Jefe Dpto. Redes Jefe Dpto. Sistemas Jefe Dpto. Ventas

Jefe Dpto.
Contabilidad

Administradores de la Administradores de Vendedores (usuarios con

Contadores (usuarios con
sistemas, monitoreo manejo de información sensible)
red y equipos del site manejo de información sensible)
y BD

Responsabilidades de Administradores del redes y equipos del Site:

. Informar a los usuarios de los controles de seguridad que hayan sido establecidos y
verificar su utilización apropiada
. Garantizar la realización de los procedimientos de backup en ambientes virtualizados, así
como su conservación
. Poseer el conocimiento necesario para operar aplicativos antimalware, y de lo contrario,
capacitarse
. Detectar posibles vulnerabilidades en los sistemas y aplicaciones y proponer acciones para
su solución

Responsabilidades de Administradores de sistemas, monitoreo y BD

. Garantizar la realización de los procedimientos de backup en sistemas que lo requieran
(como las BD y logs de monitoreo), así como su conservación
. Detectar posibles caídas de los equipos monitoreados y dar aviso inmediato al
administrador de la red para validar malfuncionamiento o posible ataque

Responsabilidades de Vendedores
. Dar aviso inmediato en caso de incidencia (alteración, perdida o filtrado de información
sensible) al departamento de redes o sistemas para que se tome una acción rápida
. Saber identificar posibles ciberataques más conocidos (phishing, por ejemplo), de lo
contrario capacitarse para saberlos identificar

Responsabilidades de Contadores
. Dar aviso inmediato en caso de incidencia (alteración, perdida o filtrado de información
sensible) al departamento de redes o sistemas para que se tome una acción rápida
. Saber identificar posibles ciberataques más conocidos (phishing, por ejemplo), de lo
contrario capacitarse para saberlos identificar

11
6. Medidas y Procedimientos de Seguridad Informática
En este segmento del Plan de Seguridad Informática, se describen como se implementan, en
las áreas a proteger, las políticas que han sido definidas para la entidad, en correspondencia
con las necesidades de protección de cada una de ellas.

6.1 Control de medios informáticos

Medida: Los administradores de sistemas responden por la integridad de los medios
destinados para el desempeño de actividades
Procedimiento 1. Control de medios informáticos
1. Realizar una revisión de los equipos de los usuarios la última semana de cada mes, para
verificar que se encuentren en optimas condiciones, actualizados, si requieren refacciones o
reparaciones y realizar los cambios de piezas necesarios, garantizando el funcionamiento de
los equipos.
2. Comprobar cambios existentes desde el ultimo control realizado
3. Informar a la Dirección de la Empresa los resultados de la comprobación
4. Generar un resumen de los resultados de cada revisión y conservarlo por un año
Responsable: Administradores de sistemas

6.2 Del personal

Medida: Los administradores de la red tienen la tarea de bloquear sitios maliciosos y
garantizar el acceso a sitios seguros para los usuarios
Procedimiento 2: Elaboración de perfiles de control web
1. Despliegue de una solución de protección para endpoint que posea módulos de control
web, entre otras tecnologías de protección para PC y laptop
2. Realizar perfiles de control web para los usuarios dependiendo del departamento al que
pertenecen
3. Aplicar esos perfiles para bloquear el acceso a sitios irrelevantes a las actividades de
cada puesto
4. Generar reportes de los usuarios que han accedido o intentado acceder a sitios no
permitidos
5. Entregar este reporte a Dirección para informar de la
situación Responsable: Administradores de la red

6.3 Seguridad de operaciones

Medida: El personal administrador de la red se encargará del análisis de vulnerabilidades
presentes en la infraestructura y deberá realizar acciones para contrarrestarlas y eliminarlas
en lo posible
Procedimiento 3: Corrección de errores y brechas de seguridad
1. Realizar un análisis semanal con la herramienta de protección de endpoint desde la
consola de administración en todos los equipos de los usuarios y de la red que se
encuentren protegidos por esta solución
2. Tomar acciones necesarias en caso de detectar múltiples incidencias con la solución de
análisis de malware según corresponda, ya sea limitar el acceso a internet, bloquear el uso
de ciertas aplicaciones en los equipos, etc., para minimizar la probabilidad de sufrir algún
ataque

12
3. Mantener los equipos protegidos y siempre visibles en la consola de administración de la
solución de protección para endpoint.
Responsable: Administradores de la red

6.4 Respaldo de la información

Medida: El personal de sistemas y redes queda encargado de la realización de backups de
los equipos que así lo requieren, para garantizar un plan de recuperación rápida en caso de
algún ataque masivo.
Procedimiento 4. Realización de copias de seguridad de sistemas y equipos
1. Realizar backups de manera semanal tanto de las maquinas virtuales como de los
sistemas que así lo requieran
2. El backup se realizará con una solución especializada de respaldos como Véritas
Responsable: Administradores de redes y sistemas
3. Se autorizará la adquisición de dicha herramienta para realización de backups
Responsable: Jefes del departamento de redes y sistemas
4. Se hará un doble respaldo de los ambientes críticos tanto físicos como virtuales, uno de
manera local en cintas, y el segundo en la nube para contar con un respaldo en un ambiente
aislado de la red local y protegido
Responsable: Administradores de sistemas y redes
5. En caso de un incidente que deje inutilizables los equipos que conforman la
infraestructura, se debe hacer uso de cualquier backup disponible para reanudar operaciones
rápidamente
Responsable: Administradores de sistemas y redes

6.5 Gestión de incidentes de seguridad

Medida: Cualquier incidencia debe ser reportada inmediatamente a cualquiera de los cargos
superiores o en su defecto a los departamentos de redes o de sistemas
Procedimiento 5: Interrupción en el servicio (aplicativos, comunicaciones, etc.)
1. Se reportará inmediatamente alguna interrupción en el servicio ya de algún aplicativo
crítico, la salida a internet o las comunicaciones entre equipos al cargo superior inmediato.
Responsable: Departamento de ventas y contabilidad
2. Se deben reestablecer las operaciones y establecer las causas de la interrupción y
determinar posibles acciones para evitar reincidencias una vez solucionado el problema
Responsable: Administradores de redes o sistemas
3. Se debe autorizar la adquisición de equipo adicional o de reemplazo en caso de ser
necesario para reforzar la estabilidad de las operaciones
Responsable: Jefes del departamento correspondiente y Director General
4. Se generará una bitácora con toda la información respecto a incidencias, equipos
reemplazados, equipos nuevos adquiridos, e inventario general para llevar un control de
activos
Responsable: Administradores de redes o sistemas

13
CONCLUSIÓN
Con base en la información mencionada en el documento podemos decir que este es un
caso bastante sencillo, se buscaba ejemplificar la manera de desarrollar y aplicar las
metodologías a un ejemplo real, cabe mencionar que por la extensión del documento queda
un poco corto en cuestión de políticas, me hubiera gustado incluir un procedimiento
especifico para la capacitación del personal y que aprendan a identificar ataques, existen
soluciones que se especializan en el despliegue de campañas para crear concientización en
los usuarios, como por ejemplo Phish Threat de Sophos, en las cuales te simulan un ataque
de phishing en el correo electrónico, y en base a esas campañas desplegadas, te genera
reportes por campaña, la cantidad de usuarios, y cuantas campañas detonó la incidencia del
total a las que se han desplegado, esta solución vendría a ser implementada como un
procedimiento adicional a los establecidos, y pasaría a crear conciencia en los usuarios de
ventas por ejemplo, y así disminuir la probabilidad de generar un ataque o una incidencia
por causa del factor humano, pasaría a ser aprobada por el Jefe del departamento de redes y
por el Director General de la empresa en cuestión, por lo demás, creo que sería suficiente
para poder evitar reincidencias del mismo tipo en la empresa ya que con un sistema de
copias de respaldo, se puede llegar a una reanudación de operaciones bastante rápida, el
principal problema del ejemplo fue la falta de conocimiento por parte de las personas
que implementan las herramientas de seguridad, y que no poseían un plan de
recuperación adecuado, con estas políticas y procedimientos se busca cerrar esa brecha.

REFERENCIAS
[1] Claudia Victoria Alvarado. (2021). Sistema de gestión de seguridad de la información: qué es y
sus etapas. 19 de julio del 2021, de Pensemos Sitio web: https://gestion.pensemos.com/sistema-de-
gestion-de-seguridad-de-la-informacion-que-es-etapas

[2] Normas ISO. (2005). ISO 27001 SEGURIDAD DE LA INFORMACIÓN. 19 de julio del 2021,
de Normas ISO Sitio web: https://www.normas-iso.com/iso-27001/

[3] ISOTools. (2019). ISO 27002. La importancia de las buenas prácticas en los Sistemas de
Seguridad de la Información. 19 de julio del 2021, de ISOTools Sitio web:
https://www.isotools.org/2019/06/11/iso-27002-la-importancia-de-las-buenas-practicas-en-los-
sistemas-de-seguridad-de-la-informacion/

[4] ISOTools. (2013). ISO 27001. 19 de julio del 2021, de ISOTools Excellence Sitio web:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001

14