Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ingenieria de Sistemas
2023
2
Tabla de contenido
Portada1
Introducción 2
Cuerpo del trabajo 3
Objetivos 10
Conclusiones 11
Referencias 12
3
INTRODCCION
En una empresa donde en la actalidad todo se maneja mediante aplicaciones y tecnologia digital, es
importante conocer los Sistemas de Gestión de la Seguridad de la Información (SGSI) teniendo en
cuenta que son un conjunto de políticas de administración de la información.
El término SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International Organization for Standardization y por la comisión
International Electrotechnical Commission.
La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”:
PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un enfoque
de mejora continua:
Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información
y la selección de controles adecuados.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y
eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a
máximo rendimiento.
4
DESARROLLO
Esta es la red informática de una compañía donde se conectarán los equipos por LAN; El
método de detección de vulnerabilidad dentro de la empresa está basado en tres fases, en la que
se tiene como finalidad buscar las vulnerabilidades de los equipos., sin importar si los equipos
estén por cableado o por wifi.
6
Obejtivo: Ampliar
información sobre la red
objetivo. Escaneo de Pertos y
Sub fases: Busqedade enmeración de
dominio inversa. Objetivo: La deteccipon
Servivios. de Objetivo: detectar las
Busqueda de dominios a nive los pertos y serviciosqe se vulnerabilidades presentes
l superoir. ejectan en los eqipos qe en cada no de los eqipo
Busqeda de dominios de nivel pertenen a n rango de red objetivo.
superior espefcifico.
Bsqeda de dominios
mediante ferz brta
Transferencias de zona
Descbrimiento de topologia Escaneo de
de la red vulnerabilidades
Reconocimiento
2. Analice las posibles amanezcas que pueden llegar a afectar el funcionamiento de la red seleccionada.
Entre las amenazas que puedan afectar el funcionamiento de la red están las siguientes.
Las amenazas anteriormente mencionadas son las novedades que puede presentar cualquier
empresa, pero los casos de amenazas más recurrentes y que pueden llegar a afectar la marcha
de la red pueden ser:
7
3. Desarrolle la identificación de por lo menos 10 riesgos de seguridad informática (De acuerdo a la ISO
27005 y a la Guía 7 del ministerio de TICC), en donde se relacionan dos actividades de mitigación del
impacto por cada riesgo identificado.
Riesgos estratégicos
Ejemplo: Puede presentarse por malas prácticas de gobierno corporativo que pueden generar un riesgo
para una empresa. Entre las malas prácticas que ponen en riesgo na compañía son la falta de
transparencia en la gestión empresarial y a la incapacidad para determinar con eficiencia la
responsabilidad en la organización.
8
Riesgos Operativos
Ejemplo: Cuando se afecta al modelo de negocio, puede ser una falta de aprovisionamiento; en este caso
se puede referir a las pérdidas potenciales resultantes de sistemas inadecuados, fallas administrativas,
controles defectuosos, fraude o error humano..
Riesgos Financieros
Ejemplo: Podemos relacionar este tipo de riesgo con la salud de las cuentas de una empresa. Varias
prácticas que se enmarcan en esa deficiente gestión de los caudales corporativos son una administración
inadecuada, un endeudamiento elevado, variaciones de cambio o en las tasas de interés, operaciones de
mercado o inversiones con alto grado de inseguridad, así como falta de información para tomar
decisiones.
Riesgos de Cumplimiento
Ejemplo1: Las leyes tienen gran importancia en todas las empresas, ya que pueden afectar su modelo de
negocio, traer responsabilidades legales nuevas, requerir tecnologías innovadoras (lo que se relaciona
con el riesgo al cambio digital ya descrito). Ya que el constante cambio normativo también puede
distraer a los líderes, porque con bastante frecuencia se concentran en velar por el cumplimiento del
nuevo marco legal y en establecer nuevos procesos en las medidas de control que en guiar activamente a
la organización en su avance integral.
Ejemplo2: Otro riesgo de cumplimiento es cuando por algún, falla, motivos directos e indirectos se
presentan caídas de servicios de producción generando incumplimiento en las entregas o en los
resultados de la compañía.
Riesgos de Tecnología:
Ejemplo1: Podemos relacionar en este tipo de riesgo con todas las posibles fallas digitales, ya que
depende de la obsolencia del hardware, la infraestructura, la fortaleza digital y la perdida de información
lo que expone a una empresa o persona a un riego tecnológico.
Ejemplo2: También puede ocurrir un riesgo tecnológico cuando una empresa presenta infección de virus
ya que esto puede traer consigo secuestro de datos hasta una inutilización completa de sistemas y
redes.
9
Riesgos de Imagen:
Ejemplo1: Pueden presentar se riegos de imagen cando na empresa ofrezca servicios digitales y
continuamente presenten fallas y s soporte o atención al cliente no sea oportuno y palatinamente afecte
la imagen de la compañía.
Ejemplo2: Cando se presenten constantes caídas en la red, o tenga debilidad en la red, se pueden
presentar riesgos de imagen ya que acarrea inconformidad y puede representar mala reptación en canto a
la imagen de la compañía.
La mitigación de riesgos propuesta aplica para todos los casos mencionados anteriormente.
El propósito es reducir el impacto y tomar acciones para afrontar las consecuencias con el menor
impacto negativo posible.
Las acciones de mitigación no eliminarán el riesgo. Teniendo en cuenta la situación que se presente, se
puede lograr una reducción sustancial del impacto, pero en ocasiones también puede ser apenas
perceptible. De una u otra forma, los riesgos, deben ser monitoreados o revisados constantemente
OBJETIVOS
Teniendo en cuenta las diferentes amenazas en que se encuentran los sistemas de las empresas y el
personal que las componen se debe tener claridad sobre la importancia del grado de la vulnerabilidad y
lo que conlleva a un ataque informático, los riesgos que puede causar grandes pérdidas. En las empresas
deben permanecer en alerta por las constantes amenazas y con continuo seguimiento por los incidentes
generados por los ciberdelincuentes.
11
CONCLUSIONES
Con el desarrollo de esta actividad se logra aclarar el concepto clave de un SGSI es el diseño,
implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad
de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de
información minimizando a la vez los riesgos de seguridad de la información.
12
Referencias
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.mintic.gov.co/
gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
https://www.diligent.com/es/9-riesgos-estrategicos-y-como-enfrentarse-a-ellos-de-manera-efectiva/
https://www.isotools.us/2015/10/05/como-implantar-eficazmente-la-norma-iso-27005/
#:~:text=La%20norma%20ISO%2027005%20es,definidos%20en%20la%20ISO%2027001
https://ciberseguridad.com/amenzas/violacion-datos/#
%C2%BFQue_es_una_violacion_de_datos
https://www.puntsistemes.es/blog/riesgos-tecnologicos/
https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://scielo.conicyt.cl/pdf/infotec/
v23n3/art14.pdf