María Alejandra Ortega Agudelo

Juan Carlos Rendón Aguirre

Juan David Bautista

Fundación Universitaria del Área Andina

Ingeniería de Sistemas

Seguridad en Aplicaciones

Nombre del taller

Políticas de Seguridad Informática

José Gerardo Cuta

27 de Febrero de 2024
 ACTIVIDAD EVALUATIVA EJE 2 - POLÍTICAS DE SEGURIDAD INFORMÁTICA

Objetivo

Aplicar conocimientos adquiridos en relación a la creación y la interpretación de políticas de

Seguridad informática.

Descripción del taller

Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:

•Seguridad física.
•Seguridad de red.
•Seguridad humana.
•Seguridad en sistemas operativos.
•Seguridad en aplicaciones.
•Seguridad en SGBD.
•Leer la unidad requerimientos de seguridad y seguridad en sistemas.
•Apoyarse en la norma ISO/IEC 17799.
•Aplicar los conceptos adecuados.

Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:
Desarrollo de la Actividad

● Seguridad física.

• Protección de Equipos y Recursos Físicos: Equipos y recursos físicos, como servidores,

Switches, firewall, etc. ubicados en áreas seguras y protegida, Instalación de elementos de
barrera como torniquetes, cámaras de seguridad etc.
• Cumplir con los controles de acceso de la institución: tarjetas de identificación o lectores
de huellas digitales, en puntos de entrada y áreas restringidas.
• Control de Entradas y Salidas de Dispositivos: Control de dispositivos para regular la
conexión de dispositivos extraíbles, como unidades USB y discos externos, a los sistemas
de la organización, utilizarán herramientas de monitoreo y controlar las conexiones de
dispositivos, identificando y bloqueando cualquier actividad sospechosa.
• Definir comportamientos no permitidos dependiendo en qué sitio de las instalaciones se
encuentre (comer, bebidas, fumar etc.)
• Hacer buen uso de las instalaciones
• Garantizar el mantenimiento de las instalaciones con el objetivo de evitar daños
estructurales que pongan en riesgo la integridad de las personas y dispositivos.
• Realizar auditorías periódicas de seguridad física para evaluar la efectividad las políticas
implementadas y detectar posibles vulnerabilidades, revisiones regulares de los registros de
acceso y eventos de seguridad para identificar actividades dentro de las instalaciones.

● Seguridad de red.

• Exigir el uso de SSL en los controles de acceso remoto, cifrado de extremo a extremo para
proteger la confidencialidad de los datos transmitidos a través de la red, especialmente en
conexiones remotas o públicas.
• Se debe contar con firewall encargados de filtrar y regular el tráfico.
• Segmentar las redes. (Control A 13 – Seguridad de las comunicaciones), Restricción de
wifi y ethernet por Mac, en dispositivos invitados.
• Implementar políticas de acceso a redes, (Control A 9.1.2 - Acceso a redes y a servicios
de Red), bloque a paginas no necesarias para realizar labores dentro de la empresa
(YouTube, redes sociales, etc.)
• Contar con alta disponibilidad en las redes con el objetivo de
• Control de dispositivos móviles
• Análisis de vulnerabilidad.
 ● Seguridad humana.

• Realizar capacitaciones al personal para que tengan conocimientos a cerca de seguridad

de la información, pues como todos sabemos, el ser humano es el riesgo más grande en
seguridad de la información, (Control A7 - Seguridad de los recursos humanos).
• Implementar autenticación multifactor (MFA) en los sistemas y aplicaciones.
• Portar el carné de la empresa en todo momento que acredite a la persona como
colaborador de la empresa, en caso de ser visitante portal la debida identificación.
• Controles de acceso basadas en roles de usuario para garantizar que cada empleado
tenga acceso únicamente a los recursos necesarios para realizar sus funciones laborales.
• Contar con personal competente
• Realizar estudios de seguridad pertinentes a los prospectos de colaboradores.

● Seguridad en sistemas operativos.

• Implementar procedimientos y políticas de uso adecuado de activos (Control A 8.1.3 – Uso

aceptable de activos).
• Mantener los equipos con el sistema operativo actualizado. Todos los sistemas operativos
utilizados en la organización deberán estar actualizados con los últimos parches de
seguridad proporcionados por los fabricantes, auditorías mensuales validando que las
actualizaciones se hayan implementado de manera correcta.
• Controlar mediante una cláusula que no se permitirá la realización de cambios en ningún
sistema o equipo de la compañía, en cuanto a cambios de software, código etc. salvo los
que estén expresamente autorizados y programados
• Implementar usuario y clave de administrador en los equipos las cuales solo sean
administradas por el área de TI, para evitar manipulación del sistema operativo y la
instalación de programas no autorizados.
• Desactivar los servicios y características innecesarias para reducir la superficie de ataque
y mejorar la seguridad general del sistema.
• Mantener todos los sistemas operativos licenciados y no crackeados.
• Instalación de antivirus empresarial en todos los equipos de la organización (servidores,
equipos de cómputo, etc.)
• Implementación de contraseñas seguras y complejas para acceder a los sistemas
operativos, establecer límite de intentos de inicio de sesión para proteger contra ataques de
fuerza bruta, se bloquearán las cuentas tras un número determinado de intentos fallidos.
• Realizar copias de seguridad (Backups) periódicamente a todos los equipos de la empresa
(pc Servidores, Firewall, Switch, Router, etc.), en unidades externas para mantener fuera de
la red.

● Seguridad en aplicaciones.

Se debe proteger las aplicaciones siguiendo los lineamientos descritos a continuación:

• Autenticación: Todas las aplicaciones deben solicitar al usuario que proporcione un
nombre de usuario y una contraseña para iniciar sesión, así mismo de ser posible se debe
activar la autenticación multifactorial.
• Cifrado: Cifrar los datos confidenciales, tanto de usuarios como de la información que se
aloja en ellos.
• Implementar codificaciones seguras, siguiendo pautas reconocidas como (OWASP y
CWE) realizarán pruebas de seguridad durante el desarrollo del software, (pruebas de
penetración, pruebas de seguridad automatizadas y revisiones de código.)
• Implementar autenticación de usuarios antes de acceder a funcionalidades de datos
sensibles. Implementar controles de autorización basados en roles para limitar el acceso de
los usuarios solo a las funciones y datos que sean necesarios para realizar sus tareas.
• Gestión de parches para garantizar que las aplicaciones sean actualizadas regularmente
con los últimos parches de seguridad, Realizar evaluaciones de vulnerabilidades de manera
proactiva para identificar y remediar posibles puntos débiles en las aplicaciones
• Copias protegidas del código desarrollado. (Unidades externas).
 ● Seguridad en SGBD.

• Encriptación: Los datos deben ser encriptados para evitar que en caso de fuga la
información sea descifrada fácilmente.
• Gestión de claves: Manejar un gestor de claves que permita almacenar de forma segura
las contraseñas de bases de datos y aplicaciones.
• Alta disponibilidad: Tener redundancia en los servicios, asegurando la continuidad del
negocio en caso de un ataque.
• Implementación de auditorías para registrar eventos como intentos de inicio de sesión,
cambios de privilegios y posibles modificaciones de datos. Tener registros de auditoría para
detectar actividades sospechosas y asegurar el cumplimiento de las políticas de seguridad.
• copias de seguridad de las bases de datos y los registros de transacciones, y se
almacenarán en ubicaciones seguras y fuera de la red, tener un plan de recuperación ante
desastres que incluya procedimientos para restaurar rápidamente la base de datos en caso
de robo o pérdida de datos.
• Realizar restauración de base de datos periódicamente para validar que la data en uso y
de backup no se encuentre corrupta. También realizarán pruebas de penetración de
vulnerabilidades en la base de datos para identificar posibles puertas traseras y evaluar la
eficacia de las medidas de seguridad implementadas.
CONCLUSIONES

- Este taller nos dio a entender que la implementación de las políticas de seguridad
informática es fundamental y necesaria para proteger los activos digitales de una
organización y garantizar la confidencialidad, integridad y disponibilidad de la
información.
- A lo largo de las diferentes áreas abordadas, incluyendo seguridad humana,
seguridad física, seguridad en redes, seguridad en sistemas operativos, seguridad
en aplicaciones y seguridad en bases de datos, son la mayoría muy similares ya que
en todas las políticas debemos tener siempre un respaldo de la información
(Backup) en Cada una de estas políticas.
- Estar constantemente auditando internamente todos los servicios, usuario y demás
herramientas que nos pongan en riesgo la data y la red de datos de la organización.
- Nunca es suficiente cuando tratamos los temas de la seguridad de nuestra
información, hay que tener efectividad y cuidado a la hora de implementar los
controles de seguridad necesarios.
Referencias Bibliográficas.

ISO27001 Seguridad Información. (s. f.). DNV.

https://www.dnv.com/ar/services/iso-27001-sistema-de-gestion-de-seguridad-

de-la-informacion-3327#:~:text=%E2%80%8BQu%C3%A9%20es%20la%20n

orma%20ISO%2027001&text=Ayuda%20a%20las%20organizaciones%20a,l

a%20seguridad%20de%20la%20informaci%C3%B3n.

Normas ISO. (s. f.). ISO 27001 - Seguridad de la información: norma ISO IEC

27001/27002. https://www.normas-iso.com/iso-27001/

ISOTools. (2024, 17 enero). ISO 27001 - Sistemas de Gestión de Seguridad de la

información. Software ISO.

https://www.isotools.us/normas/riesgos-y-seguridad/iso-27001/

¿Qué son los controles de seguridad? | IBM. (s. f.).

https://www.ibm.com/mx-es/topics/security-controls