FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA

INGENIERÍA DE SISTEMAS
SISTEMA DE GESTION DE SEGURIDAD INFORMATICA
DOCENTE: JENNY ARCOS
LUIS CARLOS CRISTANCHO
LUIS ALBERTO YATE
JOHN FREDY BARON OCHOA
GRUPO 041
SEPTIEMBRE DE 2019
 INTRODUCCIÓN
La Gestión del Riesgo y Gestión de Incidentes se encuentran términos que van de
la mano y son muy mencionados hoy en día en ambiente tecnológico, por ello en
el presente documento se hará referencia a la norma ISO 27005 y a la Guía No 7
del Ministerio de TIC “Gestión de Riesgos”.
Objetivo de aprendizaje

⮚ Poner en práctica los conocimientos adquiridos, detectando riesgos,

amenazas, vulnerabilidades y generando un plan de gestión del negocio.

VULNERABILIDAD INFORMÁTICA DE LA RED EMPRESARIAL

Esta organización con el nombre de TRANSFET, Es una empresa de transporte

de mercancía la cual ofrece sus servicios a distintos casilleros donde es
almacenada los productos comprados por páginas de internet.

En el presente documento se presenta las posibles vulnerabilidades y/o riesgos

informáticos a los que se encuentra esta organización.

TIPO DE RED Y MEDIOS TECNOLÓGICOS

Después de realizar análisis se identifica que esta entidad tiene cuenta con una
red empresarial de tipología estrella, y tiene una conexión de internet WAN.

Medios tecnológicos.

EQUIPOS: 10
PORTATIL: 5
SO: WINDOWS 7
DISPOSITIVOS MOBILES: 5
ROUTER: 2
SWITCH: 2
VULNERABILIDADES IDENTIFICADAS

● Entre internet y los ordenadores solo hay un

router, un fallo grave de diseño
● Direccionamiento automático, podría ocasionar
accesos no autorizados
● Los sistemas informáticos tienen puertos sin
RED asignar “puertas traseras”.

● ROUTER wifi conectados a redes sensibles,

fallo importante
● Debilidades en el diseño de los protocolos
utilizados en las redes
● Los empleados no conocen las Políticas de
Seguridad de Información
INFORMACION ● Entrenamiento insuficiente en seguridad
informática
● Uso incorrecto de software y hardware

INFRAESTRUCTURA ● La empresa no cuenta con un diseño de

seguridad perimetral.
● La red energética es muy inestable
● Las políticas de seguridad son deficientes e
inexistentes

● No cuenta con planes de recuperación de

PLANEACION desastres
● No se encontraron planes de acción ante
eventos de violación a la seguridad.
● Ausencia de auditorias
 TIPO DE ACTIVO VULNERABILIDADES
● No se evidencio la implementación de UPS
para evitar daño por el flujo de energía en
los servidores
HARDWARE
● No se evidencio mantenimiento preventivo

● No cuenta con un firewall para la

protección para la red.

SOFTWARE ● Los aplicativos que maneja la empresa

tienen errores de programación.
● No se evidencio el “cierre de sesión”
cuando lo equipos cómputos se dejan de
utilizar.

POSIBLES AMENAZAS

De acuerdo con las funciones que desarrolla la empresa y la Guía No. 7 gestión
Riesgos Informáticos, y el formato establecido en ella para la clasificación de las
amenazas, se identificaron las siguientes amenazas.

D= Deliberadas, A= Accidentales, E= Ambientales

TIPO AMENAZA ORIGEN

Daño físico Fuego A, D, E

Agua A, D, E

Contaminación A, D, E

Daño por polvo A, D, E

 Accidentes laborales A, D, E

Fenómenos climáticos E

Fenómenos sísmicos E

Eventos naturales Fenómenos volcánicos E

Fenómenos meteorológicos E

Inundación E

Fallas en el sistema de suministro de agua o

E
aire acondicionado
Perdida de los
servicios esenciales Perdida de suministro de energía E

Falla en equipo de telecomunicaciones E

Interceptación de señales de interferencia D

Espionaje remoto D

Hurto de medios o documentos D

Hurto de equipo D
Compromiso de la
Recuperación de medios reciclados o
información D
desechados
Divulgación Datos provenientes de fuentes no
D
confiables
Manipulación con hardware
D
Manipulación con software
Uso no autorizado del equipo D

Compromiso de las Copia fraudulenta del software D

funciones Uso de software falso o copiado D

Corrupción de los datos D

Abuso de derechos D
Acciones no
autorizadas Incumplimiento en la disponibilidad del
D
personal
RIESGOS DE SEGURIDAD INFORMÁTICA (DE ACUERDO A LA ISO 27005 Y A
LA GUÍA 7 DEL MINISTERIO DE TIC).

De acuerdo con la Guía de Riesgo DAFP expuesta en la Guía No 7 del Ministerio

de TIC, existen los siguientes riesgos.
✔ Después del análisis se identificaron los siguientes riesgos, de la misma
manera su actividad de mitigación.

GESTIÓN DE RIESGOS

No TIPO RIESGO ACTIVIDAD DE MITIGACIÓN

Al no contar con seguridad -Capacitación al personal sobre

perimetral, se puede presentar el tema.
Riesgo De robo de la información,
1
cumplimiento espionaje o ataquen
cibernéticos. -Reforzar la seguridad
perimetral

Las debilidades en el diseño -Reforzar la seguridad

de los protocolos utilizados en rediseñando los protocolos de
Riesgo las redes, le causarían robo de seguridad.
2
Tecnológico la información.
-Reforzar la seguridad
perimetral

3 Riesgo Al no contar con un firewall de -Contratar una empresa

 protección para la red, se
Tecnológico puede ser objetivo de proveedora de firewall
ciberataques.

Entre internet y los

ordenadores solo hay un
-Implementar un router en
Riesgo router, un fallo de diseño grave
4 medio de las redes, y también
Tecnológico lo cual apunta a ser víctima de
administrarlos
ciberataques, robo o pérdida
de información.

Al tener el direccionamiento
-Se deben implementar
automático, podría ocasionar
Riesgo medidas de direccionamiento
5 accesos no autorizados, robo o
Tecnológico ESTATICO, para lleva run
pérdida de la información,
control del acceso a la red
espionaje y ciberataques.

Al contar con poca seguridad

-Se deben tener medida con
en los WIFIS, que tiene el
unas contraseñas complejas,
Riesgo riesgo de ciberataques,
6 alfanuméricas, además de un
Tecnológico pérdida o robo de la
sistema de seguridad reforzado
información, accesos no
WPA2.
autorizados.
 CONCLUSIONES

De acuerdo con los parámetros establecidos en la norma ISO 27005 y a la Guía

No 7 del Ministerio de TIC, las organizaciones están protegidas y también pueden
estar en la capacidad de identificar sus vulnerabilidades, y sus riesgos.