ACTIVIDAD 05:

PROYECTO INTEGRADOR ETAPA 1

SEGURIDAD INFORMATICA Y ANALISIS FORENSE

MTRO. CARLOS RAMIREZ CASTAÑEDA

ALUMNO:
NAHUM PÉREZ MORALES

03 de octubre de 2022
 PROYECTO INTEGRADOR ETAPA 1

Fecha:03/10/2022
Nombre del estudiante: Nahum Pérez Morales
Nombre del docente: Carlos Ramírez Castañeda

Introducción

La seguridad informática dentro de las organizaciones es un tema latente que se debe abordar
y darle la importancia a medida que la organización crece y para ello una de las herramientas
fundamentales es realizar una matriz de riesgo informáticos que se tiene dentro de la
organización.

I. Análisis de Riesgo

Planteamiento

Basado en tu experiencia como profesional del área de las TI, realiza un análisis de
amenazas a la seguridad de la información de la información de la organización donde
colaboras o bien, si eres un profesional independiente, alguna organización con la que
hayas podido desarrollar algún proyecto

1. A partir de la revisión de los materiales sugeridos en la plataforma Blackboard,

identifica alguna problemática en tu organización en la que consideres puedes
intervenir, implementando un servicio web.

2. Realiza un reporte que describa tu propuesta de servicio web tomando en cuenta los
siguientes criterios:

1.1. Datos generales de la empresa

Desarrolla los datos generales de la empresa (nombre, giro comercial, sector

que atiende, descripción de las soluciones que proporciona, posicionamiento
actual en el mercado, misión y visión)

Nombre: Maverick Servicios Técnicos, S. de R.L. de C.V.

Giro Comercial: Comercial y de Servicios

Sector: Industrial del Petróleo y Gas

La empresa realiza el suministro de bienes y servicios para la industria del

 petrolera de México, se especializa en la etapa de terminación de pozos,
teniendo como sus principales líneas de negocios: Empacadores, Accesorios de
Terminación, Válvulas de Seguridad Subsuperficial, Sensores de Fondo y
Colgadores de Liner, así como herramientas térmicas para la inyección de vapor
con alta temperatura y alta presión, actualmente se encuentra compitiendo en el
mercado con las 4 grandes empresas de servicios de la industria en México
teniendo un crecimiento exponencial a 4 años de su fundación en México y
siendo un referente en la calidad de los bienes y servicios prestados a la fecha.

Misión

Maverick Servicios Técnicos, actúa como proveedor de herramientas y tuberías

de pozos de vapor, así como soluciones de Terminación/Completación como
integrador de estos sistemas para el sector de Perforación y Terminación de
pozos de la Industria de Petróleo y Gas, así como la asesoría técnica y
especializada, la empresa se enfoca en las necesidades de sus clientes de
manera personalizada y efectiva que sirve para entallar soluciones de valor
agregado con el potencial de reducir costos operativos e incrementar la
producción.

Visión

Construyendo un experimentado y altamente especializado e ingenioso equipo,

Maverick Servicios Técnicos, usando a su red de centros de soporte a través del
continente americano para formar una empresa siempre orientada en las
soluciones a nuestros clientes.

Firme en nuestros valores centrales de calidad, integridad, servicio al cliente,

Seguridad y Protección Ambiental, Maverick Servicios Técnicos se convertirá en
la empresa más confiada en sistemas de Completación / Terminación de pozos
petroleros.

1.2. Identificación de amenazas

Identifica las amenazas recurrentes relacionadas con las principales actividades

de la organización y descríbelas.

Nota: Todas las amenazas descritas en este apartado como información, es

solo para fines demostrativos de los temas de estudio, además de su
comprensión y posible aplicación, se establece un planteamiento ficticio sobre la
empresa, para cumplir con el desarrollo actividad.
 Riesgos Administrativos

Filtrado de Información: La empresa maneja información confidencial de los

clientes como estados mecánicos de pozos, ubicación de yacimientos, datos
bancarios, reportes de trabajos realizados, capacitaciones, cursos, manuales
técnicos, información que es de carácter confidencial, y que si no se le da el
correcto tratamiento un empleado puede filtrarla y hacer de dominio publico o
con malos intereses.

Asesoramiento de Riesgos Informáticos: Al ser una empresa petrolera se

enfoca en disminuir los riesgos operativos de la industria, pero hay poco
conocimiento del personal en temas de seguridad informática.

Personal especializado: Al ser una empresa trasnacional se corre el riesgo que

el personal no cuente con las capacitaciones o certificaciones necesarias para
llevar a cabo sus actividades.

Análisis a fondo a empleados nuevos: Para cumplir con los programas de

Debida Diligencia y seguridad todo personal debe ser investigado a profundidad
para conocer sus antecedentes y que en un futuro no se presenten casos de
sabotaje internos en la empresa.

Uso Incorrecto de Contraseñas: Al ser una empresa con más de una centena
de empleados, existe el riesgo que e compartan contraseñas para realizar
ciertas actividades o delegarlas, es por ello por lo que se debe llevar a cabo un
análisis exhaustivo de niveles de permisos a los empleados y el uso correcto de
contraseñas.

Riesgos Técnicos

Detección de Intrusos: La empresa requiere de personal con conocimientos en

seguridad informática para detectar intrusos o personas mal intencionados que
quieran conectarse a la red interna.

Identificación y Análisis de Vulnerabilidades: El personal de seguridad

informática debe establecer periodos de evaluación a todos los puntos de
acceso a la red de la empresa para identificar amenazas y vulnerabilidades en
ella.

Auditoria de Sistemas en Seguridad Informática: Las auditorías a la

seguridad informática son parte del sistema de gestión de calidad del servicio de
la empresa por ende se debe reforzar dicho proceso para identificar riesgos en
cuanto a la seguridad de la información, el hardware, y todo lo que tenga que
ver con la informática de la empresa, como hardware de acceso o identificación
de empleados.

Calidad en el servicio: Toda la información o datos que se le presente al

cliente tienen que ser verificada su calidad, que la información, reportes, detalle
del pozo, planos, estructura, corresponda a los trabajos y bienes suministrados
para asegurar la integrada de la información que recibe el cliente.

Riesgos Operativos:

Falla de Antivirus: Al ser una empresa que comparte información con sus
clientes y viceversa esta expuesta a sufrir una infección por virus informáticos,
ya sea que el virus se transmite por correo, USB o cualquier otro medio digital,
el software antivirus debe cumplir los más altos estándares y estar actualizado
constantemente.

Falla de FireWall: El Firewall de la empresa asegura la integridad de la Red

Interna, de los servidores y datos que se encuentran dentro de la organización,
si dicho dispositivo falla, cualquier usuario mal intencionado puede acceder a
nuestros datos los cuales tienen cientos de gigabits de información.

Falla de AntiSpam: El spam es un problema común en cualquier organización y

muchos empleados reciben constantemente este tipo de mensajes a través de
sus correos una falla en la configuración del correo organizacional puede
provocar que se filtre y que los empleados abran este tipo de correos.

Falla en el sistema de Acceso a Empleados: Todo el acceso a los empleados

en oficinas y bases operativas esta regulado con seguridad basada en datos
biométricos, que incluye lectura de rostro + huella dactilar+ PIN de seguridad
individual de los empleados, con esto se lleva un control de los horarios de
accesos de los empleados, se verifica los accesos fuera de horarios laborales,
así mismo se resguarda toda los bienes y equipos dentro de las instalaciones, si
este equipo falla, puede hacer que cualquier persona sin autorización entre a las
instalaciones de la organización.

Falla en el Monitoreo de REDES CORPORATIVAS en tiempo real: Las redes

internas deben estar siendo monitoreadas constantemente por personal de
seguridad informática, para evitar accesos indebidos vía Wifi, evitar el acceso a
paginas de riesgo, o paginas de entretenimientos y dispersión.
 Auditoria de Sistemas en Seguridad Informática: Como parte de los
procesos de seguridad informática se realiza constante auditorias a todos los
puntos de acceso, así como a la red LAN y WIFI, también se verifica los
protocolos de Firewall y credenciales de acceso a los servidores de datos de la
organización.

Fallas del software especializado: El daño a software especializado es un

riesgo latente, ya que dicho software no es público, sus licencias están limitadas
a cierto personal ya que realizan simulaciones de ingeniería avanzada, y el
riesgo de un empleado sin conocimiento dañe la configuración o las bases de
datos de dicho software siempre se debe tener presente.

Daño de Hardware: Derivado de que el software especializado requiere de

equipos de prestaciones superiores en cuanto hardware como procesadores,
tarjetas de video, Memoria RAM, discos duros de estados sólidos, siempre
existe el riesgo de dicho hardware sea dañado con malas intenciones para
provocar algún retraso en la presentación de información o de algún proceso
inherente al negocio.

Intentos de daño a la información de los clientes: Los clientes

constantemente nos proporcionan información confidencial de sus operaciones
para llevar acabo propuestas técnicas de los servicios que les vamos a
suministrar, por tal motiva dicha información debe ser tratada con
confidencialidad, debe estar bajo resguardo, y no debe sufrir cambios en su
estructura original, ya que dichos cambios puede provocar que la interpretación
de los datos proporcionados al clientes sean incorrectos provocando graves
daños económicos, tecnológicos y de reputación para el cliente dentro de la
industria del petróleo y gas.

1.3. Matriz de riesgo

Elabora la matriz de riesgo que contenga el cálculo del impacto a las

propiedades de integridad, confidencialidad, disponibilidad, así como el cálculo
del riesgo (nivel bajo, medio, alto).
 MATRIZ DE RIESGOS
PROCESO: Seguridad y Calidad informática de la Empresa Maverick Servicios Técnicos, S. de R.L. de C.V.
OBJETIVO: Proporcionar los más altos controles y estándares de seguridad tanto a los clientes internos como externos.
Calificación Nivel de
Frecuencia Impacto
Final Riesgo

Confidencialidad
Categoría de

Disponibilidad
Riesgo Descripción Suma 1-3.- Bajo

Integridad
Riesgo
Alto Medio Bajo (Frecuencia 4-6.- Medio
+Impacto) 7-10.- Alto

La empresa maneja información confidencial de los clientes

como estados mecánicos de pozos, ubicación de yacimientos,
datos bancarios, reportes de trabajos realizados,
Filtrado de Información capacitaciones, cursos, manuales técnicos, información que 1 3 3 0 7 Alto
es de carácter confidencial, y que si no se le da el correcto
tratamiento un empleado puede filtrarla y hacer de dominio
público o con malos intereses.
Asesoramiento de Mala capacitación y poco conocimiento de los empleados en
Administrativo 2 2 0 2 6 Medio
Riesgos Informáticos cuanto a los Riesgos de Seguridad Informática.

Análisis a fondo a Contratación de empleados si la investigación exhaustiva a

1 3 3 2 9 Alto
empleados nuevos sus antecedentes y pruebas psicológicas o psicométricas

Contraseñas visibles o compartidas utilizadas por empleados

Uso Incorrecto de
de la empresa para delegar actividades a compañeros por 1 3 3 3 10 Alto
Contraseñas
alta carga de trabajo.

Falla o Falta de Software de IDS en la Red o los Servidores de

Detección de Intrusos 1 2 2 1 6 Medio
la Empresa

Identificación y Análisis Escaneos periódicos para Identificar Vulnerabilidades dentro

1 2 2 1 6 Medio
de Vulnerabilidades de la Red o Servidores.

Técnico Auditoria de Sistemas en Auditoria a todos los sistemas informáticos y puntos de

1 1 1 1 4 Medio
Seguridad Informática acceso de la Empresas para detectar fallas o vulnerabilidades
Toda la información o datos que se le presente al cliente
tienen que ser verificada su calidad, que la información,
Calidad en el servicio reportes, detalle del pozo, planos, estructura, corresponda a 2 3 3 2 10 Alto
los trabajos y bienes suministrados para asegurar la integrada
de la información que recibe el cliente.
 Equipos sin Antivirus o sin actualizar, con Licencias Vencidas o
Falla de Antivirus 1 3 0 2 6 Medio
Desactivados.

Falla de FireWall Falla en el Firrewall por desconocimiento o Errores Humanos. 1 3 3 3 10 Alto

Falla en el Software encargado del bloque de SPAM en

Falla de AntiSpam 2 1 0 1 4 Medio
correos electrónicos o mensajería.
Falla en el sistema de acceso biométrico de los empleados
Falla en el sistema de
provocando que la empresa quede vulnerable ante cualquier 1 3 3 2 9 Alto
Acceso a Empleados
persona externa.
Falla en el Monitoreo de
Falta de seguimiento en el monitoreo de las redes en tiempo
REDES CORPORATIVAS 1 2 2 1 6 Medio
real por el personal de Seguridad informática.
Operativo en tiempo real
Auditoria de Sistemas en Falta de Auditoria periódicas a todos los sistemas
1 2 2 2 7 Alto
Seguridad Informática informáticos de la empresa.
Daño a software especializado, ya que dicho software no es
público, sus licencias están limitadas a cierto personal ya que
Fallas del software
realizan simulaciones de ingeniería avanzada, y el riesgo de 1 3 0 3 7 Alto
especializado
un empleado sin conocimiento dañe la configuración o las
bases de datos de dicho software.
Daño irreversible al Hardware de la empresa con malas
Daño en Hardware intenciones, para provocar algún retraso en la presentación 1 3 0 3 7 Alto
de información o de algún proceso inherente al negocio.
Intentos de daño a la
Distribución Ilegal o corrupción de Información Confidencial
información de los 1 3 3 0 7 Alto
de los clientes
clientes
 Conclusión

Los riesgos se encuentran presente en cualquier empresa sobre todo en las empresas
dedicadas a la industria petrolera, donde cada día se hace mas hincapié en la seguridad física,
la protección ambiental, pero se desvincula o se deja por fuera la seguridad informática, y es
que las organizaciones al trabajar con tanta información confidencial, muchas veces estas
actividades se hacen de manera rutinaria que no nos detenemos a revisar el riesgo que hay al
enviar un correo, al recibir un documento o un correo extraño y simplemente seguimos con
nuestra actividad laboral sin prestar atención a la seguridad informática, es por ello que se debe
implementar protocolos de seguridad, se debe capacitar a todos los empleados en cuanto a
seguridad informática, y se debe hacer de conocimiento la integridad, confidencialidad y
disponibilidad de la información y equipo que se maneja, ya que si estos vectores no se
analizan la imagen corporativa a la empresa puede sufrir un daño irreversible que inclusive
puede llevar a la quiebra a cualquier organización, y es este donde destaca la importancia de
realizar una matriz riesgo basada en la seguridad informática dentro de la organización, para
brindar calidad, confidencialidad y salvaguardar todos los datos con los que se trabaja en el día
a día y que son vitales en la estrategia corporativa de los negocios que desarrolla la empresa.

Referencias

• Spiritus Vult, Distant Thunder Films (Productor). (2014). ALGORITHM: The Hacker
Movie [Archivo de video]. Recuperado de https://youtu.be/6qpudAhYhp
• Coello, R. (2015). Planificación de un sistema de gestión de seguridad de la información
para su aplicación en la operación del sistema nacional de finanzas públicas del ecuador
Haga clic para ver más opciones [Archivo PDF]. Recuperado de
https://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Rolando_Coello_Neacato_2015.pdf
• Alfaro, I. y Vargas, E. (2016). Diseño del plan de seguridad informática del sistema de
información misional de la procuraduría general de la nación Haga clic para ver más
opciones [Archivo PDF]. Recuperado de http://polux.unipiloto.edu.co:8080/00003023.pdf
• B-SECURE (Productor). (24 de febrero de 2020). Etapas de implementación SGSI |
Sistema de Gestión de la Seguridad de la Información [Archivo de video]. recuperado de
https://www.youtube.com/watch?v=mGshGrPHuZQ
• iso27000.es (2005). SGSI - Información fundamental sobre el significado y sentido de
implantación y mantenimiento de los Sistemas de Gestión de la Seguridad de la
Información Haga clic para ver más opciones [Página web]. Recuperado de
https://www.iso27000.es/sgsi.html