Actividad Evaluativa Sistema de gestión de seguridad

informática Eje 4

Actividad Evaluativa - EJE 4

Jhon Anthony Álvarez Jaramillo

Daniela Roncancio León

Elkin Chamorro Portilla

Santiago Benítez Arenas

Fundación Universitaria del Área Andina

Sistemas Gestión en Seguridad Informática

Ingeniería de Sistemas

Septiembre 2022
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

INTRODUCCIÓN

La seguridad en la infraestructura tecnológica de las empresas se ha

convertido en uno de los principales puntos de importancia, ya que de ella
depende en gran medida la seguridad de la información, por ello es
conveniente mantener ciertos estándares de seguridad y poder planificar
actividades para la mitigación de fallos en la misma.

Es importante realizar evaluaciones periódicamente en busca de

vulneraciones y también poder identificar fallas que posiblemente personas
con malas intenciones puedan utilizar a su favor, cabe destacar que hay
entidades tanto privadas como del estado las cuales brindan modelos a
seguir en busca de prevención antes posibles ataques.

Plantear estrategias de seguridad frente a amenazas es una muy buena

práctica que nos permite orientar o tener una guía antes posibles
situaciones con riesgos de seguridad a nivel informático.
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

OBJETIVOS

GENERAL

· Dar a conocer los diferentes tipos de vulnerabilidades que se pueden

encontrar y llegar a afectar la estructura tecnológica de una empresa.

ESPECÍFICOS

· Conocer la tipología de la red, cómo trabaja, sus dispositivos, etc.

· Identificar soluciones a posibles amenazas presentes en la red.

· Aplicar estándares de seguridad tecnológica en la empresa

 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

ACTIVIDAD

Instrucciones

• Elabore un análisis de las vulnerabilidades de la red en la que ha venido

trabajando.

• Analice las posibles amenazas que pueden llegar a afectar el

funcionamiento de la

compañía.

• Desarrolle un plan de gestión de riesgos de seguridad informática (de

acuerdo a la ISO

27005 y a la Guía 7 del ministerio de TIC), en donde para cada amenaza y

vulnerabilidad se genere un plan de acción que minimice el impacto.

• Entregar informe y evidencia del trabajo desarrollado, cada estudiante

debe realizar la

entrega de la actividad.
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

DESARROLLO

1. Elaborar un análisis de las vulnerabilidades de una red informática

preferiblemente

empresarial, incluyendo tipología y cantidad de equipos conectados.

Solución:

El análisis se realizó a una empresa la cual su área de trabajo es el servicio

de call center, la contratan empresas x para que realice su servicio de
soporte y ayuda, la empresa es joven pero actualmente su mercado tienda a
ampliarse.

Su red informática es de topología (Anillo-Mixta), es una empresa pequeña

pero ya tiene un servicio de sistema montando, donde maneja toda la
operación desde una oficina central, esta empresa cuenta con un servidor,
un router, 14 switch, ya que la empresa está divida en dos áreas, una de las
áreas es en anillo, donde se encuentran instalados 3 computadores que es
donde se encuentran los jefes de área y coordinan la empresa, en la otra
área donde es mixta, se encuentran instalados 6 computadores, es el área
donde se manejan los soportes (call center), todos los equipos se
encuentran con una dirección ip fija, ya que de esta manera todos van
conectados al servidor principal.

2. Analice las posibles amenazas que pueden llegar a afectar el

funcionamiento de

la compañía.

-Daños realizados por otras personas

-Pérdida de electricidad

-Robo de algunos equipos

-Instalación de software no permitido

-Mal funcionamiento de algún equipo de la red

-Cambios no autorizados de la configuración

 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

-Accesos a personas no autorizadas

-Daños a la configuración

-Divulgar las contraseñas

-Uso indebido de los equipos

3. Desarrolle un plan de gestión de riesgos de seguridad informática (de

acuerdo a

la ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para cada

amenaza y

vulnerabilidad se genere un plan de acción que minimice el impacto.

Teniendo en cuenta las amenazas y las vulnerabilidades de los puntos

anteriores se

generan las siguientes acciones.

 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

VULNERABILIDADES

- Claves de usuarios no cambiadas: Junto con el área que está a cargo del
sistema implementaremos unas normas en donde cada persona deben
tener un usuario y una clave para poder ingresar al sistema y dicha clave se
va a programar para que se cambie periódicamente

- Equipos sensibles a cambios de voltaje: Se evaluaría los riesgos de

posibles aumentos de corriente para estos se instalaría unos
equipos para regularizar el voltaje (UPS´s) con suficiente capacidad
de soportar la carga para cada sección 4 UPS, una (1) para la parte de
salidas, una (1) para las entradas, una (1) para cajeros y la última en donde
esta el servidor y el Switch Core y Firewall. También tener la red eléctrica
independiente.

- Mantenimiento mal realizado: Capacitar constantemente al personal

encargado de esta labor, También se debe de realizar esta labor en
periodos no muy largos según especifique el fabricante.

- Falta de documentación de especificaciones de la red: Realizar un

DOSIER con toda la información del sistema con manuales y
especificaciones de configuración, También una documentación de
mantenimiento preventivo y correctivo del sistema.

- Robo de algún equipo: Generar protocolos de seguridad para evitar

hurtos, como guayas instaladas en los equipos y cerramientos de los
RACKs de comunicación.

- Instalación de Software no permitido: Generar protocolos en los usuarios

de cada sistema operativo de cada equipo, restringiendo la instalación de
software que no sean permitidos por la empresa.

- Mal funcionamiento de algún equipo de la red: Generar un plan de

mantenimiento preventivo a los equipos de la red.

- Cambios no autorizados de la configuración: Generar usuarios al sistema

que no tengan acceso a la configuración del sistema. También solo las
personas que están capacitadas y autorizadas pueden tener la clave del
usuario que puede realizar las configuraciones del sistema.

- Accesos a personas no autorizadas: Generar usuarios que solo tengan a

los que corresponde el área para la que trabaja.
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

-Daños a la configuración: capacitar constantemente a la persona que se

encarga de realizar las configuraciones. También realizar documentación de
cada cambio de las configuraciones que se realice.

- Divulgar las contraseñas: Generar protocolos de seguridad de que las

contraseñas son personales. También capacitar al personal sobre las
consecuencias que puede traer el compartir las contraseñas, bloquear los
usuarios de las personas que renuncien para que así no puedan usar
indebidamente esos usuarios y contraseñas.

- Uso indebido de los equipos: capacitar al personal que tiene acceso a los
equipos de la red sobre el uso de los equipos, También hacer
capacitaciones de los protocolos de seguridad que se deben manejar en
estos equipos.
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

CONCLUSIONES

En conclusión, es necesario en cualquier compañía realice siempre las

respectivas copias de seguridad en el menor tiempo posible, ya que, de esta
manera en caso de una vulneración del sistema, este se pueda recuperar lo
más pronto posible Para concluir se deben realizar capacitaciones o charlas
de la importancia de la seguridad de los datos en la empresa, intentando
mitigar y disminuir los posibles ataques que la empresa pueda tener a
futuro.

Es importante que tengamos nuestro personal capacitado y tener

planes de contingencia en tal caso que se presente un ataque, manejar
muy bien los archivos que ejecutamos en ordenadores de la red
empresarial, además del correo tener filtros que detectan los archivos
maliciosos, siempre estar actualizando nuestros sistemas para obtener los
parches de seguridad por parte de los fabricantes.

Es importante mantener planes de acción para mitigar el daño que pueden

llegar a presentar las diferentes amenazas para los sistemas, es una buena
práctica, ya que si de alguna forma logran vulnerar la seguridad de la
empresa, se sabe con certeza qué procedimientos seguir en cada caso.
 Actividad Evaluativa Sistema de gestión de seguridad
informática Eje 4

LISTA DE REFERENCIAS

· Seguridad en informática: consideraciones. Dominio de las Ciencias. Vol.

3. Consultado en marzo 29, 2021 en
https://dialnet.unirioja.es/servlet/articulo?codigo=6137824

· Topología de red. (2021, 11 de marzo). Wikipedia, La enciclopedia libre.

Consultado en marzo 29, 2021 en
https://es.wikipedia.org/w/index.php?title=Topolog%C3%ADa_de_red&oldid
=133888230.

· Ramírez, A & Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en

ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios.
Ingeniería. Vol. 16, N° 2, Consultado en marzo 29, 2021 en
https://dialnet.unirioja.es/servlet/articulo?codigo=4797252

· Análisis de vulnerabilidades. (s.f). Ciberseguridad. Consultado en marzo

29, 2021 en https://ciberseguridad.com/servicios/analisis-vulnerabilidades/

·
https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.p
df

· TOPOLOGIA DE RED. (s.f). Ingeniería de redes. Consultado en abril 06,

2021 en http://ingk3lmyrd.blogspot.com/p/blog-page_72.html

· Pérez, J & Merino, M. (2008). Definicion.de: Definición de seguridad

informática. Consultado en abril 06, 2021 en
https://definicion.de/seguridad-informatica/#:~:text=La%20seguridad%20info
rm%C3%A1tica%20es%20una,la%20inviolabilidad%20de%20un%20sistem
a.