Ciberseguridad: Blue Team

Josué Alfaro Mora

Profesor: Diego Ovalle

Proyecto Final

Gestión y Control de Riesgos (Empresa ficticia –“CyberLegal”)

22 Mayo de 2023
 Plan de Gestión y Control de Riesgos para la Empresa Ficticia "CybeLegal"

I. Introducción
La seguridad de la información se ha convertido en una preocupación fundamental para
las organizaciones en la era digital. Con el aumento constante de las amenazas cibernéticas,
es esencial que las empresas adopten un enfoque proactivo y estratégico para gestionar y
controlar los riesgos asociados con la seguridad de sus activos de información. En este
contexto, se presenta el siguiente plan de gestión y control de riesgos para la empresa ficticia
"CyberLegal".

El objetivo de este plan es establecer un marco integral que permita a "CyberLegal"

identificar, evaluar y mitigar los riesgos de seguridad de la información a los que se enfrenta.
"CyberLegal" es una empresa líder en el sector de la ciberseguridad y legislación sobre ciber
seguridad, brindando servicios de consultoría y soluciones de seguridad a sus clientes, así
como en la asesoría en el ámbito legal y tecnológico. Dada la naturaleza crítica de los activos
de información que maneja y su posición en el mercado, es imperativo contar con un enfoque
sólido y estructurado para proteger sus sistemas, redes y datos contra posibles amenazas.

A. Objetivo del plan

El objetivo de este plan es establecer un enfoque integral para la gestión y el control de
riesgos en la empresa ficticia "CyberLegal". La finalidad del presente plan consiste en
proteger los activos de información y garantizar la continuidad del negocio, identificando,
evaluando y mitigando los riesgos de seguridad de la información.

B. Alcance del plan

Este plan abarcará todos los activos de información críticos de la empresa ficticia
"CyberLegal", incluyendo

• Sistemas
• Redes
• Datos
• Recursos humanos
También se considerarán las amenazas internas y externas que podrían afectar a la
organización.
 C. Descripción de la empresa ficticia "CyberLegal"
"CyberLegal" es una empresa líder en el sector de la ciberseguridad que brinda servicios
de consultoría y soluciones de seguridad a sus clientes. La empresa cuenta con una
infraestructura tecnológica crítica, que incluye servidores, bases de datos y sistemas de
comunicación.

II. Evaluación de Riesgos

A. Identificación de activos y sistemas críticos

Se llevará a cabo un inventario exhaustivo de todos los activos de información críticos
de "CyberLegal", incluyendo hardware, software, datos y personal.

Activos Físicos:
Equipos de Dispositivos Dispositivos de Equipos de Infraestructura
Cómputo: de Red: almacenamiento: seguridad física:
física:

Laptops Enrutadores discos duros cámaras de Edificios

vigilancia

Servidores Switches unidades de cinta sistemas de Salas de

control de Servidores
acceso

Impresoras Puntos de unidades de cerraduras racks sistemas

acceso wi-fi estado sólido electrónicas de alimentación
(SSD) ininterrumpida
(UPS)

Escáneres Dispositivos Alarmas sistemas de

de Seguridad climatización
de Red
Cables de
Red

Activos Digitales:
 Datos y bases Aplicaciones y Sitios web y Derechos de Credenciales
de datos: software dominios: propiedad de usuario:
intelectual:

Bases de DatosProgramas sitio web oficial marca nombres de

informáticos y de la empresa registrada usuario
aplicaciones
Documentos Sistemas de dominios derechos de contraseñas
gestión registrados autor
empresarial
Hojas de Software de blogs secretos certificados
calculo productividad comerciales que digitales
se encuentren
en formato
digital.

Archivos de Software de
audio y video seguridad
Correos
electrónicos

B. Identificación de amenazas y vulnerabilidades

Se realizará un análisis de amenazas para identificar las posibles fuentes de riesgo, tanto
internas como externas. También se evaluarán las vulnerabilidades existentes en los sistemas
y las posibles formas de explotarlas.

C. Evaluación del impacto y probabilidad de los riesgos

En esta sección es muy importante que se asignen los niveles de impacto y probabilidad a
cada uno de los riesgos que se hayan identificado considerando los siguientes factores de los
activos de información

• Integridad
• Confidencialidad
• Disponibilidad

D. Priorización de riesgos
 Los riesgos se clasificarán según su nivel de prioridad, utilizando una escala que tome en
cuenta la probabilidad e impacto. Esto permitirá establecer una lista de riesgos prioritarios
para su mitigación.
1
Riesgo: Brechas de seguridad en la red interna.
Mitigación: Implementar firewalls y sistemas de
detección de intrusos (IDS) para monitorear
y filtrar el tráfico de red. Además, se deben
aplicar políticas de seguridad robustas,
como contraseñas fuertes, autenticación
multifactor y restricciones de acceso
basadas en roles.

2
Riesgo: Fuga de información confidencial debido
a la pérdida o robo de dispositivos
móviles.

Mitigación: Encriptar los dispositivos móviles y

establecer una política de seguridad que
exija autenticación para acceder a los datos.
También se deben implementar soluciones
de gestión de dispositivos móviles (MDM)
para rastrear y controlar los dispositivos en
caso de pérdida o robo.

3
Riesgo: Ataques de phishing dirigidos a
empleados.
Mitigación: Realizar campañas de concientización y
capacitación en seguridad para educar a los
empleados sobre los riesgos de phishing y
cómo identificar correos electrónicos
maliciosos. Se debe fomentar el uso de
filtros de correo electrónico y sistemas de
protección antimalware.

III. Estrategias de Gestión de Riesgos

 A. otras estrategias de mitigación
Se implementarán controles de seguridad adecuados para mitigar los riesgos
identificados. Esto puede incluir medidas como el

• cifrado de datos,
• la autenticación multifactor,
• la segmentación de redes
• la implementación de parches
• Actualizaciones de seguridad.

B. Transferencia de riesgos
Cuando el caso lo amerite, se buscarán acuerdos de transferencia de riesgos, como la
contratación de pólizas de seguros de ciberseguridad para mitigar las pérdidas financieras
asociadas a posibles incidentes de seguridad.

C. Aceptación de riesgos
Esto podríamos aplicarlo para casos de baja probabilidad o impacto, se puede optar por
aceptarlos sin tomar medidas adicionales. Pero, aun así, es necesario realizar un seguimiento
continuo para garantizar que los riesgos sigan siendo aceptables a lo largo del tiempo.

D. Evitación de riesgos
Esto puede incluir la eliminación de determinadas tecnologías o prácticas que representen
un riesgo significativo para la organización.

E. Monitoreo y revisión continua

Se establecerá un proceso de monitoreo y revisión continua para evaluar regularmente la
efectividad de las estrategias de gestión de riesgos implementadas. Se realizarán auditorías
de seguridad periódicas y se realizarán actualizaciones según sea necesario para abordar
nuevos riesgos o cambios en el entorno.

IV. Planes de Acción y Contingencia

 A. Medidas de seguridad y controles: se implementarán

• políticas de seguridad
• controles de acceso físico y lógico
• firewalls
• sistemas de detección de intrusiones

B. Procedimientos de respuesta a incidentes

Se procederá a la notificación y escalada de incidentes, la contención y mitigación de
estos, la recuperación de los sistemas y la realización de investigaciones forenses.

C. Planes de continuidad del negocio

Se establecerán planes de continuidad del negocio que permitan a "CyberLegal" mantener
sus operaciones en caso de un incidente de seguridad grave. Esto incluirá la realización de
copias de seguridad regulares, la replicación de datos y la identificación de ubicaciones
alternativas para operar en caso de interrupción.

D. Capacitación y concientización del personal

Se proporcionará capacitación regular al personal de "CyberLegal" sobre las mejores
prácticas de seguridad, la identificación de amenazas y la respuesta a incidentes.

V. Implementación y Seguimiento

A. Responsabilidades y roles
Se designará a un equipo de seguridad encargado de coordinar y ejecutar las actividades
necesarias.

B. Calendario de implementación
Se establecerá un calendario detallado para la implementación de las estrategias,
auditorías y revisiones periódicas.

C. Monitoreo continuo y ajustes necesarios

 Se realizarán pruebas de penetración, el monitoreo de logs y la detección de anomalías
en los sistemas.

D. Evaluación periódica de riesgos

Se realizarán evaluaciones periódicas de riesgos para identificar nuevos riesgos
emergentes y evaluar la efectividad de las estrategias de gestión implementadas.

VI. Conclusiones
La implementación de este plan no solo permitirá a "CyberLegal" proteger su
infraestructura tecnológica, sino también tomar decisiones informadas sobre la asignación de
recursos, implementar controles de seguridad adecuados y establecer una cultura de
seguridad en toda la organización. Al adoptar un enfoque proactivo de gestión de riesgos,
"CyberLegal" estará mejor preparada para enfrentar los desafíos actuales y futuros de la
ciberseguridad y mantener su posición como líder en el mercado.
Así mismo permitirá la implementación de un ambiente y cultura preventiva respecto
a la ciberseguridad y una conciencia sobre la importancia de la implementación de un plan
integral que permita una mayor seguridad de la información y sus estructuras para el bien de
la empresa, sus empleados y los clientes en general.