1

Actividad Eje 3 – Sistemas de Gestión de Segridad

Profesor: Andrés Alfonso Cárdenas Rojas

Lina Maria Chavez – Grupo 11

Fundación Universitaria del Area Andina

Ingenieria de Sistemas

2023
 2

Tabla de contenido
Portada1
Introducción 2
Cuerpo del trabajo 3
Objetivos 10
Conclusiones 11
Referencias 12
 3

INTRODCCION

En una empresa donde en la actalidad todo se maneja mediante aplicaciones y tecnologia digital, es
importante conocer los Sistemas de Gestión de la Seguridad de la Información (SGSI) teniendo en
cuenta que son un conjunto de políticas de administración de la información.

El término SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y por la comisión
International Electrotechnical Commission.

La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”:
PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un enfoque
de mejora continua:

 Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información
y la selección de controles adecuados.

 Do (hacer): es una fase que envuelve la implantación y operación de los controles.

 Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y
eficacia) del SGSI.

 Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a
máximo rendimiento.
 4

Actividad Evaluativa Eje 3

Para resolver la actividad el estudiante debe:

• Realizar las lecturas del referente de pensamiento del eje 3.

• Desarrollar las actividades propuestas.

• Presentar la actividad dentro de las fechas establecidas.

Instrucciones

1. Elaborar un análisis de las vulnerabilidades de una red informática preferible-

mente empresarial, incluyendo topología y cantidad de equipos conectados.

2. Analice las posibles amenazas que pueden llegar a afectar el funcionamiento

de la red seleccionada.

3. Desarrolle la identificación de por lo menos 10 de riesgos de seguridad infor-

mática (de acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en don-
de se relacionan dos actividades de mitigación del impacto por cada riesgo
identificado.

4. Entregar un informe y evidencia del trabajo desarrollado, incluyendo portada,

introducción, objetivos, cuerpo del trabajo, conclusiones y referencias biblio-
gráficas.
 5

DESARROLLO

1. Elaborar un análisis de las vulnerabilidades de una red informática preferible-

mente empresarial, incluyendo topología y cantidad de equipos conectados.

Esta es la red informática de una compañía donde se conectarán los equipos por LAN; El
método de detección de vulnerabilidad dentro de la empresa está basado en tres fases, en la que
se tiene como finalidad buscar las vulnerabilidades de los equipos., sin importar si los equipos
estén por cableado o por wifi.
 6

Obejtivo: Ampliar
información sobre la red
objetivo. Escaneo de Pertos y
Sub fases: Busqedade enmeración de
dominio inversa. Objetivo: La deteccipon
Servivios. de Objetivo: detectar las
Busqueda de dominios a nive los pertos y serviciosqe se vulnerabilidades presentes
l superoir. ejectan en los eqipos qe en cada no de los eqipo
Busqeda de dominios de nivel pertenen a n rango de red objetivo.
superior espefcifico.
Bsqeda de dominios
mediante ferz brta
Transferencias de zona
Descbrimiento de topologia Escaneo de
de la red vulnerabilidades

Reconocimiento

2. Analice las posibles amanezcas que pueden llegar a afectar el funcionamiento de la red seleccionada.
Entre las amenazas que puedan afectar el funcionamiento de la red están las siguientes.

Vulneraciones De Tecnología Compartida

Posibles
Negación Del Servicio
Amenazas: Abuso Y Uso Nefasto De Los Servicios En La Nube
Perdida De Información
Amenazas Persistentes Avanzada
Amenazas Internas
Vulnerabilidades Del Sistema
Interfaces Y APIS Inseguras
Protecciones Insuficientes De Los Accesos
Violación De Datos

Las amenazas anteriormente mencionadas son las novedades que puede presentar cualquier
empresa, pero los casos de amenazas más recurrentes y que pueden llegar a afectar la marcha
de la red pueden ser:
 7

 Violación de datos: Se refiere a la violación de la seguridad que implica la liberación de

información segura o privada/confidencial en un entorno no confiable (como Internet público o
la Dark Web) donde personas no autorizadas pueden acceder a ella (descargar, copiar, ver o de
otra manera).
 Protección insuficiente de los accesos: la filtración de los datos muchas veces puede generarse
por falta de gestión de acceso en la cual no utilizar autenticación, contraseñas débiles o
criptografía de contraseñas certificadas.
 Vulnerabilidades del sistema: Estos son usados por los atacantes para ingresar dentro de un
sistema a través de programas con error para obtener un objetivo.
 Amenazas internas: Estas amenazas se presentan cuando un empleado actual o ex funcionario
tiene o tenía acceso autorizado dentro de la red y hace mal uso de esto privilegios asignados.
 Perdida de información: Se puede tener perdida de información por parte del proveedor de
servicios en la nube.
Las vulnerabilidades pueden provenir de las siguientes amenazas:
 Virus informáticos
 Gusanos Troyanos
 Adware
 Rootkit
 Ataques man in the middle (MITM)
 Ataques DOS
 Ataques DDOS

3. Desarrolle la identificación de por lo menos 10 riesgos de seguridad informática (De acuerdo a la ISO
27005 y a la Guía 7 del ministerio de TICC), en donde se relacionan dos actividades de mitigación del
impacto por cada riesgo identificado.

Riesgos estratégicos

Ejemplo: Puede presentarse por malas prácticas de gobierno corporativo que pueden generar un riesgo
para una empresa. Entre las malas prácticas que ponen en riesgo na compañía son la falta de
transparencia en la gestión empresarial y a la incapacidad para determinar con eficiencia la
responsabilidad en la organización.
 8

Riesgos Operativos

Ejemplo: Cuando se afecta al modelo de negocio, puede ser una falta de aprovisionamiento; en este caso
se puede referir a las pérdidas potenciales resultantes de sistemas inadecuados, fallas administrativas,
controles defectuosos, fraude o error humano..

Riesgos Financieros

Ejemplo: Podemos relacionar este tipo de riesgo con la salud de las cuentas de una empresa. Varias
prácticas que se enmarcan en esa deficiente gestión de los caudales corporativos son una administración
inadecuada, un endeudamiento elevado, variaciones de cambio o en las tasas de interés, operaciones de
mercado o inversiones con alto grado de inseguridad, así como falta de información para tomar
decisiones.

Riesgos de Cumplimiento

Ejemplo1: Las leyes tienen gran importancia en todas las empresas, ya que pueden afectar su modelo de
negocio, traer responsabilidades legales nuevas, requerir tecnologías innovadoras (lo que se relaciona
con el riesgo al cambio digital ya descrito). Ya que el constante cambio normativo también puede
distraer a los líderes, porque con bastante frecuencia se concentran en velar por el cumplimiento del
nuevo marco legal y en establecer nuevos procesos en las medidas de control que en guiar activamente a
la organización en su avance integral.

Ejemplo2: Otro riesgo de cumplimiento es cuando por algún, falla, motivos directos e indirectos se
presentan caídas de servicios de producción generando incumplimiento en las entregas o en los
resultados de la compañía.

Riesgos de Tecnología:

Ejemplo1: Podemos relacionar en este tipo de riesgo con todas las posibles fallas digitales, ya que
depende de la obsolencia del hardware, la infraestructura, la fortaleza digital y la perdida de información
lo que expone a una empresa o persona a un riego tecnológico.

Ejemplo2: También puede ocurrir un riesgo tecnológico cuando una empresa presenta infección de virus
ya que esto puede traer consigo secuestro de datos hasta una inutilización completa de sistemas y
redes.
 9

Riesgos de Imagen:

Ejemplo1: Pueden presentar se riegos de imagen cando na empresa ofrezca servicios digitales y
continuamente presenten fallas y s soporte o atención al cliente no sea oportuno y palatinamente afecte
la imagen de la compañía.

Ejemplo2: Cando se presenten constantes caídas en la red, o tenga debilidad en la red, se pueden
presentar riesgos de imagen ya que acarrea inconformidad y puede representar mala reptación en canto a
la imagen de la compañía.

La mitigación de riesgos propuesta aplica para todos los casos mencionados anteriormente.

El propósito es reducir el impacto y tomar acciones para afrontar las consecuencias con el menor
impacto negativo posible.

Las acciones de mitigación no eliminarán el riesgo. Teniendo en cuenta la situación que se presente, se
puede lograr una reducción sustancial del impacto, pero en ocasiones también puede ser apenas
perceptible. De una u otra forma, los riesgos, deben ser monitoreados o revisados constantemente

Siempre es importante tener en cuenta los siguientes pasos a seguir:

- Identificación de los Riesgos

- Evaluación de los riegos
- Plan de mitigación
- Aceptar el riesgo
- Evitar o eliminar el riesgo
- Mitigar los riesgos
 10

OBJETIVOS

Teniendo en cuenta las diferentes amenazas en que se encuentran los sistemas de las empresas y el
personal que las componen se debe tener claridad sobre la importancia del grado de la vulnerabilidad y
lo que conlleva a un ataque informático, los riesgos que puede causar grandes pérdidas. En las empresas
deben permanecer en alerta por las constantes amenazas y con continuo seguimiento por los incidentes
generados por los ciberdelincuentes.
 11

CONCLUSIONES

Con el desarrollo de esta actividad se logra aclarar el concepto clave de un SGSI es el diseño,
implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad
de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de
información minimizando a la vez los riesgos de seguridad de la información.
 12

Referencias
 chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.mintic.gov.co/
gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

https://www.diligent.com/es/9-riesgos-estrategicos-y-como-enfrentarse-a-ellos-de-manera-efectiva/

 https://www.isotools.us/2015/10/05/como-implantar-eficazmente-la-norma-iso-27005/
#:~:text=La%20norma%20ISO%2027005%20es,definidos%20en%20la%20ISO%2027001
 https://ciberseguridad.com/amenzas/violacion-datos/#
%C2%BFQue_es_una_violacion_de_datos
 https://www.puntsistemes.es/blog/riesgos-tecnologicos/
 https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

 chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://scielo.conicyt.cl/pdf/infotec/
v23n3/art14.pdf