Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Actividad Evaluativa Eje 4

    Cargado por

    Nicol Maream Nope Junco
    2 vistas10 páginas
    Notes

    Título original

    Actividad Evaluativa Eje 4 (3)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Notes

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    2 vistas10 páginas

    Actividad Evaluativa Eje 4

    Cargado por

    Nicol Maream Nope Junco
    Notes

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    Actividad Evaluativa Eje 4

    Riesgos y Amenazas a los Sistemas Informáticos y la Información

    Nicol Maream Nope Junco

    Kevin Camilo Castro López

    Fundación Universitaria del Área Andina

    Fundamentos de Seguridad Informática

    Helber Báez Rodríguez

    Colombia

    2023
    Introducción

    Se desarrolló una política de seguridad cumpliendo con sus etapas, con el objetivo de

    minimizar los riesgos de seguridad informática de la empresa o casa, tomando en cuenta el

    inventario de activos, vulnerabilidades, valoración de vulnerabilidades, amenazas, matriz de

    riesgo y soluciones de debilidades, trabajados anteriormente, en consecuencia se desarrolló

    un plan de acción en el cual se definieron: los problemas, el alcance, los objetivos,

    requerimientos, sanciones y demás elementos importantes en la implementación de la política

    de la seguridad

    Objetivos

    ● Fortalecer los conocimientos aprendidos sobre riesgo y amenazas en seguridad

    informática.

    ● Desarrollar una política de seguridad para mitigar riesgos.

    ● Proponer un plan de acción con soluciones eficaces.


    DESARROLLO DE LA ACTIVIDAD

    Sede A

    Se realizó una evaluación de vulnerabilidades a la empresa logística, la cual arrojó


    varias falencias de seguridad las cuales, dejaban expuestas la información de vital
    importancia para el funcionamiento de esta.

    Se crea una política, la cual minimizará los riesgos, y se dará un acompañamiento, el


    cual nos va a generar una mejora continua para el desarrollo de esta.

    A continuación, se añade una tabla, la cual identifica las vulnerabilidades encontradas


    en la empresa:

    Mantenimiento insuficiente/Instalación fallida de los medios de


    HARDWARE almacenamiento

    Ausencia de esquemas de reemplazo periódico

    Susceptibilidad a la humedad, el polvo y la suciedad

    Susceptibilidad a las variaciones de voltaje

    Almacenamiento sin protección

    SOFTWARE Ausencia o insuficiencia de pruebas de software

    Ausencia de “terminación de sesión” cuando se abandona la estación


    de trabajo

    Disposición o reutilización de los medios de almacenamiento sin


    borrado adecuado

    Asignación errada de los derechos de acceso

    Ausencia de documentación
    Configuración incorrecta de parámetros

    Ausencia de mecanismos de identificación y autentificación, como la


    autentificación de usuario

    Habilitación de servicios innecesarios

    Descarga y uso no controlado de software

    Ausencia de copias de respaldo

    Ausencia de protección física de la edificación, puertas y ventanas

    RED Ausencia de pruebas de envío o recepción de mensajes

    Tráfico sensible sin protección Escucha encubierta Conexión


    deficiente

    Punto único de fallas

    Arquitectura insegura de la red

    Conexiones de red pública sin protección

    PERSONAL Entrenamiento insuficiente en seguridad

    Uso incorrecto de software y hardware

    Falta de conciencia acerca de la seguridad

    Ausencia de mecanismos de monitoreo

    Trabajo no supervisado del personal externo o de limpieza

    Ausencia de políticas para el uso correcto de los medios de


    telecomunicaciones y mensajería

    Uso inadecuado o descuidado del control de acceso físico a las


    LUGAR edificaciones y los recintos
    Red energética inestable

    Ausencia de protección física de la edificación (Puertas y ventanas)

    Ausencia de reportes de fallas en los registros de administradores y


    ORGANIZACIÓN operadores

    Respuesta inadecuada de mantenimiento del servicio

    Ausencia de asignación adecuada de responsabilidades en seguridad


    de la información

    Ausencia de procedimientos para introducción del software en los


    sistemas operativos

    Ausencia de registros en bitácoras

    Ausencia de política sobre limpieza de escritorio y pantalla

    Ausencia de mecanismos de monitoreo establecidos para las brechas


    en seguridad

    ALCANCE

    Esta política, se basa en el sistema de gestión de seguridad de la información Es de


    aplicación global para cada una de las sedes relacionadas con la empresa.

    RESPONSABILIDADES

    La empresa dispondrá de un área denominada tecnologías de la información (T.I.) el


    cual será el encargado de realizar la evaluación a las vulnerabilidades, las cuales exponen la
    información a diversos ataques, que puedan afectar la disponibilidad, integridad y
    autenticidad de esta.

    El personal de T.I. tendrá como función principal, realizar constantes capacitaciones,


    y concientización de todo el personal para que la política tenga un alcance global dentro de la
    organización, con el fin de minimizar y controlar las vulnerabilidades anteriormente
    mencionadas.

    Estará estructurada por un encargado, el cual gestionará que la política de seguridad,


    sea cumplida a cabalidad y que todo el personal esté al tanto de la misma, para ello el
    encargado podrá de disponer de personal auxiliar que considere necesario para el
    cumplimiento y divulgación de la política de seguridad de la información.

    Sede B

    Política de Seguridad

    Etapa 1: Definir las necesidades

    Se hace levantamiento de inventario de activos, se determinan las vulneraciones, valoraciones

    y amenazas de cada uno de estos, se emplea una matriz de riesgos que ayuda a priorizar

    cuáles son los riesgos que más pueden afectar negativamente a la empresa.

    Procedimiento:

    https://docs.google.com/spreadsheets/d/1uAk4yWe-9k9blyoXK4yoedfHBjuVzBxB/edit?

    usp=sharing&ouid=109007116434919498005&rtpof=true&sd=true

    Etapa 2: Diseño e implementación de política de seguridad

    Política de seguridad de la información

    Esta política de seguridad pretende regular y actuar como norma general ante la interacción

    de los sistemas informáticos y la información, contrarrestando los riesgos y amenazas

    encontrados en las vulnerabilidades de la empresa.


    Objetivo

    Su principal objetivo es garantizar la disponibilidad, la integridad y confidencialidad de la

    información y sus activos, además de mitigar o eliminar las amenazas, así como sus posibles

    efectos en la información que puedan comprometer al correcto funcionamiento de las

    actividades de la empresa.

    Alcance

    Es aplicable a todos los activos correspondientes a la sede B de la empresa, así como a la

    información que en este se maneje, a todas las personas que trabajen allí, funcionarios,

    contratistas o terceros y a toda acción o proceso que en esta se desarrolle.

    Soporte de la política de seguridad

    -ISO 27001

    -Modelo de Seguridad y Privacidad de la Información (MSPI)

    Roles

    -Alta gerencia: autorizar la política de seguridad

    -Especialista en seguridad informática: desarrollar el plan de gestión de riesgos.


    -Personal: informar características e incidentes sobre los activos que están a su disposición.

    -Departamento de las TIC: generar e implementar planes de acción, así como controles y

    tratamientos de activos.

    Normas

    -Emplear herramientas y mecanismos de cifrado de información

    -Efectuar y probar copias de respaldo

    -Implementación de controles de acceso a empleados autorizadas

    -Actualización constante del software

    -Capacitación constante de los responsables de los activos

    Sanciones

    En caso de no cumplirse la política de seguridad puede incurrir en consecuencias como

    advertencias de incumplimiento, suspensión temporal, destitución laboral y en casos de delito

    una denuncia legal.

    Conclusión
    Los sistemas informáticos y la información están constantemente expuestos a

    vulnerabilidades que pueden ser aprovechados por diferentes tipos de atacantes informáticos

    generando una amenaza ya sea física o lógica que comprometa la actividad de la empresa y

    que a su vez generan riesgos que atenten contra el CID de los activos y la información, para

    esto es necesario adoptar buenas prácticas de seguridad informática como lo son la

    realización de una gestión de riesgos y el desarrollo de una política de seguridad que

    contribuya a minimizar los posibles efectos de las amenazas, regulando las actividades,

    decisiones y acciones pertenecientes al sistema informático de la empresa.


    Bibliografía

    Elaboración de la Política General de Seguridad Y privacidad ... - MINTIC.

    (n.d.).

    https://mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf

    Portal gobierno digital. MSPI. (n.d.).

    https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/704/w3-proper

    tyvalue-49984.html

    Pirani. (n.d.). Guía para hacer una política de seguridad de la información.

    Enterprise Risk Management Solutions.

    https://www.piranirisk.com/es/academia/especiales/guia-politica-de-seguri

    dad-de-la-informacion

    También podría gustarte