ACTIVIDAD EVALUATIVA EJE 2

JULIO CESAR TELLEZ TORRES

JEFFERSON ARDILA MARTINEZ

GUSTAVO ENRIQUE TABARES PARRA

FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

INGENIERÍA DE SISTEMAS
SEGURIDAD EN APLICACIONES
BOGOTÁ
2019

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 INTRODUCCIÓN
La información como fuente vital de la empresa debe tener lineamientos o políticas
que permitan la protección y desarrollo de la misma, todo recurso informático que
evite que la información más valiosa de la organización se vea expuesta a
amenazas debe ser implementada o adoptada con las medidas adecuadas, Las
políticas de seguridad informática ayudan a la organización a cumplir sus
objetivos, protegiendo sus recursos tanto tangibles como inmateriales.
La política de seguridad informática deberá ser un medio de apoyo para la
obtención de los principales objetivos planteados en la organización y ante ello la
participación de los miembros que la conforman es de gran importancia. La política
se debe regir con estándares de consciencia y vigilancia asegurando que los
lineamientos planteados en ella se lleven a cabalidad y no supongan un riesgo.
Este documento recoge las políticas relacionadas con la infraestructura
tecnológica que se implementaran dentro de la organización desarrollando
controles que permitan planear, dirigir y organizar actividades tecnológicas que
mantengan y garanticen la integridad de los recursos informáticos, así como
salvaguardar los activos de la organización

OBJETIVO:
Determinar reglas y lineamientos específicos que permitan de manera técnica el
control y uso de las herramientas y activos de la información para así lograr
disminuir riesgos asociados a la pérdida de datos, acceso a la información sin
autorización, circulación no controlada, copia e entorpecimiento deliberado de la
información.
ALCANCE:
Contiene la Guía de Reglas y Estrategias de Seguridad Informática de la
organización incluyendo a todos los usuarios de la red de la organización en sus
diferentes roles, como son los clientes y empleados que forman parte de la
estructura de la organización y usuarios que tiene un contrato directo con la
empresa.

Incluye los lineamientos para proteger la información del SGC y los recursos
tecnológicos con la que se procesa y se almacena, así como la recuperación de la
información mantenida a nivel de medios (cintas, discos, discos ópticos, entre
otros) para responder a los requerimientos de los procesos de la institución.

OBLIGACIONES:

Es una responsabilidad de todos los usuarios ya sean clientes, o empleados

conocer las Guías de reglas y estrategias de Seguridad Informática y es su
obligación practicarlas y respetarlas para el progreso de las actividades TIC.

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 PROPÓSITO:

El propósito que tiene la organización al instaurar una Guía o Manual de reglas y

Estrategia de Seguridad Informática es especificar las políticas y normas a través
del documento para que la gestión de los proyectos TIC, se ejecute acatando la
norma de seguridad e impedir que se conceptúan vulnerabilidades que tengan
impacto en el negocio de la Entidad.

Palabras clave:
-Amenaza: Es un evento que puede desencadenar un incidente en el sistema
informático
- Vulnerabilidad: Son aspectos que influyen negativamente en la Seguridad
Informática y que posibilitan la materialización de una amenaza
-Ataque: Evento, exitoso o no que atenta sobre el buen funcionamiento del
Sistema Informático.
-Riesgo: Combinación de la probabilidad de un evento y sus consecuencias

1. SEGURIDAD FÍSICA.
Esta política debe definir diferentes mecanismos de protección de la información y
recursos
*se debe iniciar por garantizar la protección de los dispositivos, sistemas de
información, sedes incluso instalaciones, así como la información que se recibe y
genera la organización
*Todos los activos físicos innatos a los sistemas de información, como las
infraestructuras, dispositivos, cableado, medios, etc. deben estar protegidos.
*Los recursos TIC empleados para el proceso de la información deben ser
situados en áreas importantes con componentes de seguridad que consienta
registrar el acceso solo a los individuos autorizados y contener en la defensa de
los mismos, las transferencias por atribuciones de mantenimiento u otros
espacios.
*Todas las Dependencias de la organización comprometen especificar los niveles
de seguridad física en las infraestructuras, en los departamentos que están bajo
su compromiso y como Dueños de la Información son los encargados de afirmar o
dificultar la autorización formal del acceso a los organismos de su competencia
cuando sea solicitado.
*Todos los clientes y empleados de la organización tienen compromisos de uso
correcto de los recursos tecnológicos a su disposición, para salvaguardar la
información referente a las actividades diarias que realiza.

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 *Valorar e investigar constantemente la seguridad física del sistema, ya que es la
base para promover las actividades que permiten integrar la seguridad como una
actividad fundamental del mismo.
*Este tipo de seguridad está encaminada a cubrir las amenazas ocasionadas tanto
por el factor humano como por la condición del medio físico, Desastres naturales,
incendios accidentales y cualquier variación producida por las condiciones
ambientales, Amenazas ocasionadas por el factor humano como robos o
sabotajes, Disturbios internos y externos deliberados

2. SEGURIDAD DE RED.
*El área de tecnología de la información está en la capacidad de realizar
mensualmente un análisis exhaustivo de la red con el fin de conocer la situación
posibles problemas o riesgo que se tiene en el momento.
*Se deberán ubicar las áreas que tienen un impacto más vulnerable y que puntos
son focos de riesgo que no cuenten con las debidas normas físicas y
estructurales.
*El área de tecnología velará por la seguridad de la red realizando validación de
puntos de acceso definiendo 3 niveles de riesgo en la pérdida de información y la
red de la organización.
-Riego Bajo: Datos que en caso de pérdida no suponen un problema para el
desarrollo del negocio en la empresa.
-Riesgos Medio: Datos que en caso de pérdida no suponen un coste
económico elevado y aunque puedan suponer la interrupción del servicio no
acarrean repercusiones legales.
-Riesgo Alto: Datos que en caso de pérdida suponen la interrupción de la
actividad de la empresa, son un peligro de integridad de los usuarios o del
mismo ente y suponen un riesgo alto de gasto o repercusiones legales
*Implementación de contraseñas en todos los sistemas de información con un alto
estándar de seguridad utilizando letras mayúsculas, minúsculas, caracteres
especiales y números.
*Las contraseñas utilizadas por los empleados deberán tener un tiempo
establecido de 30 días para su cambio, estas contraseñas no deberán tener
nombre números telefónicos ni direcciones, deben tener un alto estándar de
seguridad.
*Las cuentas o perfiles de acceso a los sistemas de información son propiedad de
la empresa y se usarán exclusivamente para las labores asignadas al empleado.
*Todas las cuentas de acceso a recursos de la información son asignadas a los
empleados y son personales e intransferibles, Se permite su uso únicamente en
los horarios laborales.

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 *La empresa no es responsable por el contenido de datos ni por el tráfico por el
cual se interactúan los empleados, la responsabilidad recae directamente sobre el
usuario, el área de tecnología de la información deberá realizar un seguimiento a
dichos casos con el fin de facilitar a la organización imponer las sanciones
pertinentes.
*Se deberán realizar y tener copias de seguridad de toda la información que se
usa bajo la red corporativa, toda información que pertenezca al desarrollo o
procesos de la compañía se deberá salvaguardar.
*Capacitar en informar a los empleados o usuarios de la organización sobre, las
medidas o protocolos de seguridad establecidos.
*El área de tecnología de la información deberá conformar un equipo de seguridad
perimetral en el cual se determine roles de cumplimiento de los protocolos y
medidas adoptadas para el manejo de riesgos y vulnerabilidades de la
información.
*El área de tecnología de la información deberá realizar los respectivos
seguimientos y velar por el mejoramiento estructural de la red, cumpliendo con los
estándares de calidad.
*Cuando se detecte un uso inadecuado de la red, se cancelará o se interrumpirá el
acceso al perfil del empleado y se impondrán medidas temporales o permanentes
al usuario de red involucrado esto dependiendo del grado de afectación a la
compañía.
*Todo usuario que no pertenezca y se encuentre como invitado o de visita en las
instalaciones de la compañía y requiera de acceso a la red, deberá solicitar un
perfil de usuario al área de tecnología de la información el cual deberá evaluar la
solicitud, indicando los permisos necesarios que le permitirán tener acceso a la
información.

3. SEGURIDAD HUMANA.
En esta política debe tomarse en cuenta que la ejecución de la misma siempre
soporta un coste, tanto humano (contratación de personal experto) como
económico (compra de hardware y software)
El área filosofía se reserva para los humanos aun así de se convirtió en el núcleo
de los ataques debido al progreso de la web y las redes sociales, por lo tanto, se
debe generar acceso autorizados a estos canales de información durante los
horarios laborales o fuera de ellos si se implementan los recursos de la compañía
Es preciso que las empresas actúen en la implementación de políticas de
seguridad bajo la información que en ellas se maneja, esto entendiendo que son
datos sensitivos privados o públicos y que personas deben tener accesos a ella
Se constituye el marco formal de seguridad sustentado por la compañía,
conteniendo productos o negociaciones externas a la Infraestructura de seguridad,

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 Componiendo el recurso humano con la tecnología, indicando responsabilidades y
acciones complementarias como objeción ante situaciones extrañas en seguridad.
Integra las imposiciones de seguridad que deben efectuar todos los empleados y
usuarios de la red institucional bajo la regulación de la normativa interna de
políticas y manuales de procedimientos de la Corporación en cuanto al recurso
humano, sanciones aplicables ante faltas cometidas, así como cuestiones afines
con la legislación del país y negociaciones externas.
4. SEGURIDAD EN SISTEMAS OPERATIVOS.

*El área de TI deberá implementar control de acceso a los recursos según los
roles y perfiles de los usuarios en los sistemas operativos.
*Se deberá estructurar un firewall el cual mitigue y proteja el acceso no adecuado
y malintencionado a la infraestructura de red de la organización.
*En cada equipo de cómputo se deberá instalar y actualizar constantemente un
software de antivirus que permita proteger el equipo o el sistema operativo ante
amenazas de seguridad.
*Se deberá implementar por el área de TI la actualización constante y parcheado
de seguridad de los sistemas operativos, así como también la actualización a nivel
de hardware (BIOS) y (Drivers) de los dispositivos utilizados dentro de la red.
*Se deberá implementar la creación de un usuario administrador en todos los
equipos de cómputo, este usuario se utilizará únicamente por el área de TI y
tendrá acceso total a las configuraciones dentro de cada sistema operativo, Cada
perfil que se cree a los empleados dentro de cada máquina o estación de trabajo
deberá tener un usuario sin privilegios que evite la manipulación incorrecta de los
equipos con sistemas operativos.
*Se deberá realizar copias de seguridad constantes para todos los equipos o
estaciones de trabajo que manipulen información importante de la compañía,
comenzando por los servidores quienes se encargan de brindar los servicios y
replicar las políticas de dominio a cada máquina conectada en red

5. SEGURIDAD EN APLICACIONES.

*El área de TI deberá tener en regla la documentación que permita ante las
entidades auditoras confirmar el licenciamiento de los sistemas operativos y todo
software adquirido legalmente que se utilizan dentro de la compañía.
*Todo aplicativo no licenciado que se encuentre instalado en los sistemas
operativos de cada equipo de cómputo deberá ser desinstalado o eliminado.

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 *El área de TI deberá evaluar la adquisición o instalación de aplicativos que son de
dominios públicos o gratuitos estos se deberán ejecutar desde sus sitios oficiales y
seguros evitando brecha de seguridad.
* se debe contemplar la visión del inventario de aplicaciones y software instalado
en los equipos y servidores de la compañía, este se debe clasificar de manera
individual o por aplicación con el fin de poder presentar documentación para
auditorias.

*se debe contemplar para las aplicaciones propias deben solicitar los requisitos de
seguridad al usuario interno o cliente, como por ejemplo el captcha.
*Para aplicaciones propias se deberá identificar las bases de datos de acceso y
protocolo que se implementara para conceder el mismo, tomando en cuenta que
estas aplicaciones contienen información de carácter sensible y privada de la
compañía.
*los usuarios o clientes deberán contar con perfiles segmentados que les permitan
realizar las funciones requeridas, estos deben ser controlados.
* se debe establecer el tratamiento de los datos personales conforme las
regulaciones de ley para aquellas aplicaciones que los soliciten.
* Instaurar un segundo factor de autenticación, para poder permitir el acceso a
cada una de las aplicaciones en el entorno.
*Impedir el acceso al entorno de administración, previniendo así un uso ilegítimo o
malicioso de las funcionalidades críticas de gestión del entorno.

6. SEGURIDAD EN SGBD.
*El área de TI tendrá un formato de novedades o bitácora en la cual se documente
los cambios o mantenimientos que se realicen a las bases de datos, dentro de
este formato se documentara los tiempos utilizados, la información de las copias
de seguridad realizadas, quien realiza los procesos, que privilegios se gestionan y
el motivo por el cual se realizan los cambios.

*El área de TI deberá implementar rutinas periódicas de auditoría a la integridad

de los datos de información, para garantizar su confiabilidad.

*La información que se encuentra en las bases de datos deberá ser respaldada
históricamente de acuerdo a la periodicidad de actualización de la información o
de los datos.
*Los sistemas de información de bases de datos que se encuentren en ejecución
deberán tener los respectivos manuales, documentando su diseño,
implementación su estructura interna, la información de librerías, archivos que

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
 utiliza para cada proceso, así como los programas que lo conforman y el
respectivo manejo que los usuarios tienen al momento de su utilización.

*Los sistemas de información, deben contemplar el registro histórico de las

transacciones sobre datos relevantes, así como la clave del usuario y fecha en
que se realizó (Normas Básicas de Auditoría y Control).

*Los accesos a los sistemas de información deberán tener controles y privilegios

con niveles de seguridad altos, con el fin de garantizar la seguridad de la
información solo los administradores estarán en la facultad de realizar los
procesos de cambios o manipulaciones de las bases de datos.

CONCLUSION

Es importante tener en cuenta que para la construcción de una política de

seguridad se debe contar con las personas adecuadas y que puedan tomar
daciones sobre las limitaciones de esta misma, se debe planear de forma que sea
posible transmitirla a todos los usuarios internos y clientes de la organización y
que se tome en cuenta las responsabilidades que esta confiere, como por ejemplo
el cumplirla y mantenerla que es obligación de los usuarios internos dela
compañía, debe contener un conjunto de normas que se implantaran como
políticas y se anticiparan a las amenazas presentes y que se puedan presentar,
sin embargo no se puede precisar que para cada proceso se disponga de un
recursos humano que sea capaz de tener un control consciente y responsable.

Las diferentes normas que constituyen la política deben tener en cuenta los
niveles de seguridad establecidos como por ejemplo: cada usuario tiene una
responsabilidad directa por sus acceso y claves, asicomo los administradores
deben ser responsables de la gestión de las aplicaciones o diferentes recursos,
Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida,
no debe terminar en una situación en que sea más el gasto de asegurar que el
propio valor de lo que estemos protegiendo.

Este conocimiento para plantear las pautas de un a política de seguridad de la

información enfocada a todos los frentes de operación del área de tecnología y de
la compañía es muy útil en la vida laboral como personal ya que nos encontramos
en la era de la tecnología y en cualquier momento se pude sufrir algún tipo de
ataque y el tener este tipo de conocimiento nos ayuda para estar al tanto sobre
cómo prevenir este tipo de situaciones.

BIBLIOGRAFÍA
 https://repository.unimilitar.edu.co/bitstream/handle/10654/12251/ENSAYO
%20FINAL.pdf?sequence=1
 https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-aplicacion-
en-la-empresa/

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
  http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23004/6/ocarazotT
FM0613memoria.pdf
 http://www.iidh.ed.cr/multic/UserFiles/Biblioteca/IIDHSeguridad/11_2011/d3
1ae043-1976-4d83-86e9-35323eef3393.pdf
 https://www.whitebearsolutions.com/como-aplicar-politicas-de-seguridad-de-
acceso-a-aplicaciones/
 https://www.welivesecurity.com/la-es/2014/07/25/beneficios-aplicacion-
efectiva-politicas-de-seguridad/

This study source was downloaded by 100000848402978 from CourseHero.com on 10-30-2022 04:33:35 GMT -05:00

https://www.coursehero.com/file/50185681/Actividad-evaluativa-2-seguridad-en-aplicacionesdocx/
Powered by TCPDF (www.tcpdf.org)