1

SGSI (information security management system, ISMS)

Oscar Roberto Pacheco

Programa Ingeniería de Sistemas, Fundación Universitaria del Área Andina

202260 – 6A – 063 Sistemas de Gestión de Seguridad Informática - IS

Jenny Arcos

Octubre, 2022
 2
Introducción

La idea de la seguridad de la información no solo trata de como eliminar virus, prevenir

que hackers puedan tener acceso a la red y quitar el spam en el correo electrónico. La seguridad

de la información también comprende los métodos que deben seguir los empleados y la dirección

de una empresa para asegurar la protección de los datos confidenciales y de los sistemas de

información frente a las amenazas actuales. El concepto de seguridad de la información,

seguridad informática y seguridad en la red muy seguido los utilizan indistintamente, estos

conceptos están conectados y comparten los objetivos comunes para la protección,

confidencialidad, integridad y disponibilidad de la información.

 3

Objetivo

Colocar en práctica los conocimientos adquiridos, detectando amenazas, riesgos,

vulnerabilidades y generando un plan de gestión del negocio.

Descripción del taller :

Las empresas están expuestas a diversos factores que afectan su operatividad,

funcionabilidad, y continuidad en el mercado. Estos factores externos o internos pueden llegar a

causar el cierre definitivo de la compañía. Como miembros del departamento de TI debemos

apuntar a generar planes de acción que mitiguen o minimices los efectos de los factores que

ataque la compañía, garantizado un plan de continuidad que apalanque la gestión del negocio.

Requisitos para el taller:

1. Crear grupos de máximo 3 integrantes.

2. Realizar las lecturas de la presente semana.

3. Desarrollar cada una de las actividades propuestas.

4. Presentar el taller en la fecha establecida.

Instrucciones:

• Elabore un análisis de las vulnerabilidades de la red en la que ha venido trabajando.

• Analice las posibles amenazas que pueden llegar a afectar el funcionamiento de la

compañía.
 4
• Desarrolle un plan de gestión de riesgos de seguridad informática (de acuerdo con la

ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para cada amenaza y

vulnerabilidad se genere un plan de acción que minimice el impacto.

• Entregar informe y evidencia del trabajo desarrollado, cada estudiante debe realizar la

entrega de la actividad.

Vulnerabilidad: Es una debilidad existente en un sistema que puede ser utilizada por una

o varias personas apropiarse de información confidencial de una empresa.

Riesgo: Es un tipo de amenaza que pueda explorar la vulnerabilidad de uno o varios

activos pueda causar el mal funcionamiento de un sistema de información.

Topología de red: Es la manera o la forma en que esta diseñada la red de una empresa

tanto lógico como físico.

ISO/IEC 27005: Es la norma internacional que se encarga de la gestión de los riesgos

relativos en la seguridad informática.

1. Elabore un análisis de las vulnerabilidades de la red en la que ha venido trabajando.

 5
En la siguiente imagen se va a analizar la red informática.

Imagen 1. Topología de red

Fuente: https://www.testdevelocidad.es/redes/elegir-montar-configurar-correctamente-

switch-ampliar-nuestra-red/

Esta imagen corresponde la topología de red de una microempresa que consta:

 Servidor

 Router wi – fi

 Switch

 4 equipos de cómputo desktop conectados por LAN

 6
 1 equipo de cómputo portátil conectado por wi – fi

 2 tablets conectada por wi – fi

Después de mencionar los equipos que se encuentran conectados a la red de la empresa se

puede comenzar a analizar las vulnerabilidades de la red.

 Sistemas operativos y aplicaciones desactualizadas.

 Contraseñas predeterminadas no modificadas después de su asignación.

 Respaldo inapropiado de la información.

 Protección física inapropiada (firewall)

 Descargas e instalaciones desde internet no controladas

 Falta de compromiso y motivación por parte de los empleados de la empresa.

 Conexiones a redes publicas desprotegidas con los equipos de la empresa.

 Seguridad del cableado inadecuada.

 Falta de capacitación y conciencia sobre seguridad informática.

Todas estas vulnerabilidades y muchas más, como por ejemplo redes wi – fi sin

seguridad, puertos abiertos las pueden aprovechar los delincuentes informáticos para amenazar

con el secuestro de información de la empresa, es crucial identificar y conocer las

vulnerabilidades de la red para ejercer controles e ir mitigando con el tiempo.

 7

2. Analice las posibles amenazas que pueden llegar a afectar el funcionamiento de la

compañía.

 Perdida de equipos de la empresa.

 Memorias USB, discos duros extraíbles conectados sin supervisión de antivirus.

 Contraseñas de seguridad débil.

 Cambios no autorizados en la configuración del sistema.

 Ingreso a paginas no autorizadas y bajas de seguridad.

 Actualizaciones de sistema y aplicaciones desactivadas.

 Divulgar las contraseñas a personas no autorizadas.

Todo lo mencionado anteriormente son las posibles amenazas que a veces por falta de

capacitación y compromiso de los mismos empleados de la empresa colocan en riesgo la

seguridad de la información.

3.Desarrolle un plan de gestión de riesgos de seguridad informática (de acuerdo con la

ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para cada amenaza y vulnerabilidad se

genere un plan de acción que minimice el impacto.

8
 9
Revisando las vulnerabilidades y amenazas de los dos puntos anteriores se pueden

generar las siguientes acciones o plan para mitigar y corregir el impacto que causen en la

empresa.

Vulnerabilidades

 Sistemas operativos y aplicaciones desactualizadas: realizar un cronograma o plan

que ejecute automáticamente las actualizaciones desde el servidor principal de la

red de todos los equipos conectados y pertenecientes a la empresa para eliminar el

riesgo.

 Contraseñas predeterminadas no modificadas después de su asignación: crear una

política en el servidor que cada determinado tiempo avise que la contraseña va a

expirar y no deje establecer contraseñas bajas de seguridad y así realicen el

cambio cada usuario conectado a la red.

 Respaldo inapropiado de la información: Asegurar que la copia de seguridad se

realice periódicamente y almacenar en disco externos.

 Protección física inapropiada (firewall): crear un manual de configuración,

administración y actualización constante de firewall utilizado en la empresa.

 Descargas e instalaciones desde internet no controladas: controlar las descargas y

al acceso a paginas inseguras por medio de una aplicación autorizada y

certificada.
 10
 Falta de compromiso y motivación por parte de los empleados de la empresa:

ejecutar y entregar manuales de capacitación sobre el uso de la información de la

red y motivar a ejercer practicas seguras en los equipos y red de la empresa.

 Conexiones a redes públicas desprotegidas con los equipos de la empresa.

 Seguridad del cableado inadecuada: ejecutar un cronograma de mantenimiento del

todo el cableado para identificar y cambiar cables en mal estado.

 Falta de capacitación y conciencia sobre seguridad informática: Brindar todos los

conocimientos y habilidades necesarias para proteger a la empresa y crear

programa integral de concienciación de seguridad cibernética para lograr educar a

los empleados de la empresa.

 Perdida de equipos de la empresa: mantener los equipos de la empresa protegidos

con cifrado de disco y unidades para evitar el mal uso de la información en poder

de personas extrañas a la empresa.

 11
Conclusiones

Teniendo en cuenta el análisis y desarrollo de la actividad se puede concluir que la red de

datos de una empresa puede ser vulnerable, sino se ejecutan y crean políticas o normas para los

usuarios que diariamente la utilizan, estos pueden ocasionar daños a la infraestructura, perdida de

información generando gastos inadecuados a la empresa. Para mitigar todas estas

vulnerabilidades es indispensable contar con un sistema de gestión de seguridad informática

establecido en la empresa.
 12

Referencias

Plaza Nicola, J. U. (2022). Análisis técnico relacionado con la implementación de firewall perimetral para

prevenir vulnerabilidades en la red informática de La Empresa Swtelecom. Net (Bachelor's thesis, Babahoyo: UTB-

FAFI. 2022).

Wirtz, R., Heisel, M., Borchert, A., Meis, R., Omerovic, A. y Stølen, K. (marzo de 2018). Obtención de

requisitos de seguridad basada en el riesgo según la norma ISO 27005. En Conferencia Internacional sobre

Evaluación de Nuevos Enfoques de Ingeniería de Software (págs. 71-97). Springer, Cham.

Segundo Galindo, J. Propuesta de prevención de ataques informáticos de una red LAN mediante el escaneo

de vulnerabilidades.

Tarazona, T., & Cesar, H. (2007). Amenazas informáticas y seguridad de la información. Derecho penal y

criminología, 28, 137.
 13