CASO PRACTICO

Presentado por

Cesar Augusto Cubillos Gallego

Nicolas Andres Utima Jimenez

Cristian Humberto Rincón Castellanos

Ucompensar Fundación Universitaria

Cloud Computing

Bogotá D.C.

2023
Matriz de riesgos.

 Matriz de riesgos.xlsx

Análisis de los riesgos identificados como altos según la matriz de riesgos

Los riesgos identificados como altos, tales como obsolescencia de software y/o

hardware, no actualización de datos, falla en la autenticación de dos factores y ausencia

de auditoría, representan amenazas críticas para la seguridad y la operatividad de la

empresa. La obsolescencia de software y hardware aumenta la vulnerabilidad a ataques al

carecer de las últimas actualizaciones de seguridad. La no actualización de datos y la falla en

la autenticación de dos factores comprometen la integridad y confidencialidad de la

información, permitiendo posibles accesos no autorizados. La ausencia de auditoría indica

una falta de capacidad para monitorear y detectar actividades anómalas, lo que puede

resultar en la falta de visibilidad ante posibles amenazas. Abordar estos riesgos de manera

prioritaria es esencial para fortalecer la postura de seguridad y garantizar la continuidad

operativa de la empresa.

Análisis y descripción de fallas según la Matriz.

• Fuga de información:

Análisis: El acceso no autorizado o las violaciones de seguridad pueden resultar en la

pérdida de confidencialidad, comprometiendo los datos confidenciales de una organización,

lo que puede afectar seriamente la reputación y el cumplimiento legal.

• Seguridad del ERP:

Análisis: Las amenazas cibernéticas altamente expuestas a los ERP apuntan a

vulnerabilidades en la infraestructura y los sistemas que facilitan el fraude financiero. Esto

indica una falta de medidas efectivas para proteger la integridad financiera de la empresa.

• Obsolescencia de software y/o hardware:

Análisis. La presencia de equipos obsoletos indica riesgos operativos y de seguridad, ya que

los sistemas obsoletos pueden carecer de parches de seguridad, lo que deja la infraestructura

vulnerable a las amenazas.

• Sin datos actualizados:

Análisis. Mantener las mismas credenciales de acceso indefinidamente plantea un riesgo de

seguridad, ya que las contraseñas sin cambiar aumentan la probabilidad de acceso no

autorizado, comprometiendo la confidencialidad e integridad de los datos.

• Integridad de los datos:

Análisis: Interferir en las características que determinan la confiabilidad de la información

indica la posibilidad de manipular los datos, comprometiendo su validez física y lógica, lo

que puede llevar a decisiones incorrectas basadas en información alterada.

• Pérdida de control de datos:

Análisis. No acceder a los datos en su ubicación de almacenamiento normal puede indicar

una falla en la disponibilidad de los datos que afecta la continuidad del negocio y la toma de

decisiones.

• Fraude financiero:
Análisis: La tergiversación fraudulenta de información financiera indica una falla en la

verificación de la cuenta y la verificación de la identidad, lo que resulta en la transferencia

de fondos a cuentas ilegales, lo que causa pérdidas sustanciales a la empresa.

• Controles de notificación:

Análisis. Los cambios no autorizados en la información de contacto, a pesar de la

notificación proactiva, expusieron debilidades en los controles de gestión de cambios, lo que

permitió a los atacantes manipular las comunicaciones y ocultar sus acciones.

• Error en la autenticación de dos factores:

Análisis. Incluso si se implementa la autenticación de dos factores, eludir esta capa de

seguridad indica una debilidad en la implementación o gestión de la autenticación, lo que

permite a un atacante eludir medidas de seguridad adicionales.

• Cambios no autorizados en la cuenta de destino:

Análisis. Dirigir pagos a cuentas ilegítimas indica una falla en la verificación y autenticación

de la cuenta objetivo, lo que permite a los atacantes desviar fondos a ubicaciones

fraudulentas.

• Ausencia de Auditoria:

Análisis: La falta de control en los sistemas de gestión de seguridad de la información indica

una falta de monitoreo y detección de actividades inusuales que pueden impedir la

identificación temprana de amenazas.

Propuesta de Infraestructura en la Nube (SaaS):

 ERP en la Nube (SaaS):

Migrar el sistema ERP a una solución en la nube basada en SaaS. Esto elimina la necesidad

de mantener y gestionar servidores locales y garantiza actualizaciones automáticas y mejoras

de seguridad por parte del proveedor.

 Firewall y Seguridad en la Nube:

Implementar un servicio de firewall en la nube que ofrezca capacidades avanzadas de

detección y prevención de amenazas. Esto ayuda a proteger la infraestructura contra ataques

externos.

 Autenticación Multifactor en la Nube:

Utilizar un servicio de autenticación multifactor en la nube más robusto. Esto puede incluir

métodos biométricos, aplicaciones móviles seguras u otros métodos avanzados para

garantizar la autenticación segura de los usuarios.

 Almacenamiento y Backup en la Nube:

Utilizar servicios de almacenamiento en la nube para almacenar datos críticos de la empresa.

Implementar copias de seguridad automáticas y políticas de retención para garantizar la

disponibilidad y recuperación de datos.

  Gestión de Identidad y Acceso en la Nube:

Implementar una solución de gestión de identidades en la nube para centralizar y gestionar

de manera segura los accesos a todos los recursos y aplicaciones.

 Monitorización y Registro de Actividades:

Utilizar herramientas en la nube para la monitorización constante y el registro de

actividades. Esto facilita la detección temprana de posibles amenazas y proporciona

información valiosa para auditorías de seguridad.

 Formación en Seguridad Cibernética:

Integrar plataformas de formación en seguridad cibernética en la nube para capacitar a los

empleados en prácticas seguras y concienciación sobre ciberseguridad.

 Servicios de Correo Electrónico Seguro (SaaS):

Considerar migrar el servicio de correo electrónico a una solución de SaaS que ofrezca

filtrado avanzado de correo electrónico para prevenir ataques de phishing y malware.

Infraestructura

La arquitectura SaaS (Software as a Service) puede proporcionar numerosos beneficios a

una empresa en la administración de sus recursos. SaaS es un modelo de entrega de software

en el que la aplicación se aloja en la nube y se ofrece a los usuarios a través de Internet.

Algunos de los beneficios clave que una empresa puede obtener al utilizar una arquitectura

SaaS para la administración de recursos incluyen:

1. Acceso desde cualquier lugar: Los sistemas SaaS permiten a los usuarios acceder a las

aplicaciones desde cualquier lugar con una conexión a Internet, lo que facilita la

administración de recursos sin importar la ubicación.

2. Reducción de costos

Existe una amplia variedad de aplicaciones de arquitectura SaaS (Software as a Service) que

pueden beneficiar a diferentes tipos de empresas en diversas áreas. Los siguientes son

ejemplos de aplicaciones SaaS para empresas:

1. Gestión de Proyectos y Colaboración:

Asana: Permite la gestión de proyectos, tareas y colaboración en equipo.

Trello: Herramienta de gestión de proyectos basada en tarjetas visuales y listas.

Monday.com: Ofrece una plataforma de gestión de trabajo y colaboración visual.

2. Gestión de Relaciones con Clientes (CRM):

Salesforce: Ofrece soluciones de CRM para ventas, marketing y servicio al cliente.

HubSpot: Proporciona herramientas de marketing, ventas y servicio al cliente en una

plataforma integrada.

3. Recursos Humanos y Gestión de Personal:

 Workday: Ofrece soluciones de gestión de recursos humanos, nómina y planificación

de personal.

BambooHR: Sistema de gestión de recursos humanos que incluye seguimiento de

tiempo, reclutamiento y más.

4. Gestión de Finanzas y Contabilidad:

QuickBooks Online: Herramienta de contabilidad y gestión financiera en la nube.

Xero: Software de contabilidad en línea

Conclusiones