Sistemas de Gestión de seguridad de la

información

Eje 4
SGSI (information security management system, ISMS)

Presentado por:
Juan Carlos Rendón Aguirre
Harold Elías Vargas Gómez

Ingeniería de sistemas
 INTRODUCCIÓN

Las empresas están expuestas a diversos factores que afectan su operatividad,

funcionabilidad, y continuidad en el mercado. Estos factores externos o internos pueden
llegar a causar el cierre definitivo de la compañía. Como miembros del departamento de TI
debemos apuntar a generar planes de acción que mitiguen o minimices los efectos de los
factores que ataque la compañía, garantizado un plan de continuidad que apalanque la
gestión del negocio.

OBJETIVO

Poner en práctica los conocimientos adquiridos, detectando riesgos, amenazas,

vulnerabilidades y generando un plan de gestión del negocio.
Desarrollo de la actividad

1. Elabore un análisis de las vulnerabilidades de la red en la que ha venido

trabajando.
2. Analice las posibles amenazas que pueden llegar a afectar el funcionamiento
de la compañía.
3. Desarrolle un plan de gestión de riesgos de seguridad informática (de
acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para
cada amenaza y vulnerabilidad se genere un plan de acción que minimice el
impacto.
4. Entregar informe y evidencia del trabajo desarrollado, cada estudiante debe
realizar la entrega de la actividad.

Desarrollo de la actividad.
En la red interna de una clínica nos encontramos con una topología de red en estrella
extendida la cual cuenta con un datacenter principal ubicado en el piso 1, esta cuenta
con 7 pisos hacia arriba y 2 hacia abajo, con racks de servicio en piso -1, 3, 4, 5, 6 y 7
y 356 equipos de cómputo conectados a la red interna, por esta cantidad de equipos,
de áreas y sub-áreas se encuentra una gran exposición a cualquier tipo de ataque o
falencia en la seguridad.
 Ingeniería social (1)
Phishing (2)
Código malicioso/Virus (3)
Ataques de contraseña (4)
Fraude informático (5)
Acceso a información confidencial impresa (6) Daños
físicos al equipamiento (7)
Pérdida de copias de resguardo (8)
Robo de identidad (9)
Trashing (10)

Impacto
Probabilidad
Insignificante Menor Moderado Mayor Catastrófico
Raro
Improbable 8
Posible 10 9 3 5
Probable 7 6 2
Casi Seguro 4 1

Actividades de Mitigación de Riesgos

Ingeniería social
- Implementar política para solicitud de identificación cuando alguien solicita
acceso a la información o pide datos específicos.

Esta es una política que debe ser implementada inmediatamente, en la cual se validara la
identidad del solicitante ya sea por medio de una escarapela o digitalmente ya sea vía
correo electrónico institucional o mesas de ayuda de áreas específicas.
- Firma de documento en el cual cada uno de los usuarios se responsabilice de las
acciones que puedan ser realizadas desde el mismo, así dar a entender la
importancia y delicadeza de difundir información y prestar los usuarios de los
aplicativos.
-
Validar con áreas como THU y Jurídica la existencia de documentos o párrafos en el
contrato de cada uno de los empleados en los cuales los responsabilicemos del manejo
de la información, de lo contrario adjuntar otro si al contrato con este punto.

Phishing
- Implementar por medio del administrador de correos electrónicos el envio
masivo, solo usuarios específicos podrán enviar cantidades de correo
electrónicos, de lo contrario estos serán bloqueados hasta que sean analizados.
Crear políticas en el servidor de correo el cual todo correo electrónico externo deba
pasar antes por antivirus local, crear un correo certificado de manejo privado para
envió de información masiva.
- Capacitar al personal con base a correos que posiblemente sean Phishing, el
personal identificara correos sospechosos por sus contenidos, extensiones, cuerpo
de correo etc.
Por medio de correo electrónico certificado para envio masivo, compartir pautas y hacer
jornadas de seguridad de la información donde todo el personal aprenda sobre su
importancia.

Código malicioso/Virus

- Realizar bloqueo de puertos USB para limitar el uso de dichos dispositivos teniendo
en cuenta que este es uno de los más grandes portadores de programas maliciosos.

Bloquear desde el directorio activo, antivirus o cada uno de los equipos el uso libre de
conexión de memorias USB, solo dar acceso a personas especificas y bajo una serie de
permisos y responsabilidades.
- Mantener actualizado y licenciado el antivirus con los últimos parches de seguridad.
Activar Update y actualización automática de los equipos y parches de seguridad de cada
uno de los equipos de cómputo de la empresa.

Ataques de Contraseña
- Bloqueo de usuarios después de cierta cantidad de intentos fallidos a la hora de
su logueo.

Configurar una política en la cual los usuarios serán bloqueados después de 3

intentos de inicio de sesión en menos de un minuto y estos sean fallidos, obligará al
usuario a comunicarse con el administrador y su identidad será comprobada.
- Autenticación doble factor, enlazar el acceso a correo electrónico y
aplicativos con número de teléfono personal de cada uno de los
funcionarios para evitar acceso de terceros.

Fraude Informático
- Inactivación de usuarios de información a tiempo, cambio de contraseña de
usuarios que son más delicados o puestos de alta complejidad y manejo de
información confidencial.

Coordinar con áreas como THU la obligatoriedad de firma de paz y salvos de los
empleados que se retirarán de la institución, informas cuando cargos de alta complejidad
serán despedidos para realizar acciones como cambios de contraseña y custodia de
equipos.
- Limitar el acceso a sistemas transaccionales, tener una matriz de roles y perfiles
para no dar acceso a módulos que no le corresponden a alguien.
Crear matriz bien estructurada para no dar permisos de acceso innecesarios a los
sistemas transaccionales, limitar al máximo su funcionalidad o roles.

Acceso a Información Confidencial Impresa

- Implementar políticas para el menor uso de papel posible, solo imprimir lo que
sea necesario.
Ser socialmente responsables y legalmente cuidadosos con el uso indiscriminado de
papel y visibilidad de los mismos, o debida custodia.
- Eliminación correcta de documentos que contengan información confidencial,
rasgar hojas y dar una buena disposición final como es el reciclaje.
Dar pautas de correcta eliminación de documentos importantes o que contengan
datos personales, si es necesario adquirir trituradoras de papel para proceder con
eliminación de datos.

Daño físico al Equipamiento

- Instalación de UPS para conservar la integridad de los equipos en caso de
apagones, bajones y altos de energía.
Buscar asesoría de un experto o una empresa experta que asesore sobre la correcta
instalación o posibilidades de protección de redes eléctricas de la empresa.
- Activar suspensión de equipos y pantallas para aumentar la vida de cada uno de
ellos.
Destinar un tiempo prudente (15 minutos) para suspensión total de los equipos, así
proteger vida útil de las boar, fuentes de poder, discos duros y monitores.

Perdida de Copias de Respaldo

- Realizar copias de respaldo de los servidores y la información en la nube, no
realizar copias de seguridad de ningún tipo en servidores instalados en la misma
ubicación.
- No realizar copias de información importante en discos duros que tienen acceso
muchas personas y que se usan constantemente ya que esto degrada su vida útil.

Robo de identidad
- No anotar usuarios y contraseñas en papeles y dejarlos sobre los
escritorios.
Política de escritorios físicamente y visualmente limpios, sin pegatinas ni
contraseñas de los equipos y los aplicativos a simple vista.
- No guardar usuarios y contraseñas en navegadores de equipos a los cuales
tienen acceso diferentes personas.
No guardar contraseñas en navegadores ni cuentas de Google en los equipos que
son de uso publico o que varias personas cuentan con acceso a él.

Trashing
- Implementación de un software destructor de información para dar disposición
final a los archivos que son privados y no se puede dejar rastro de contenido.
Implementar software con el cual se realiza destrucción total de la información para que
esta sea irrecuperable, cuando los equipos se dan de baja o los discos se cambian, realizar
formateos en bajo.
- Limpiado constante de archivos que quedan alojados en papelera de reciclaje
Configurar vaciado automático de papeleras de reciclaje al transcurso de 15
días, este es un tiempo justo para descubrir si algún archivo en papelera debe
ser recuperado.
Conclusiones

- Existen muchos métodos y modelos de protección que nos pueden ayudar a

mitigar los errores y ataques informáticos.
- Implementar todos los controles que sean necesarios a la hora de mitigar una
brecha de seguridad en nuestros sistemas de información.
- Las metodologías para irrumpir en nuestros sistemas e información no solo se
aplican vía remota sino también realizando trabajo de campo en el cual conocen el
entorno y las personas que están en él.
- La información que consideramos basura es un insumo importante para los
atacantes a la hora de irrumpir en nuestra información.
- La categorización de los riesgos que tenemos a nuestro alrededor es muy
importante ya que sabemos el manejo que le podemos dar, la cantidad y calidad
en los controles que podemos implementar.
Referencias Bibliográficas

Toro, R. (2021, 18 febrero). ISO 27005: Seguridad de la Información y de las

comunicaciones. PMG SSI - ISO 27001. https://www.pmg-ssi.com/2017/01/iso-

27005-como-identificar-los-riesgos/

Algunas amenazas y sus consecuentes precauciones. (s. f.).

https://www.econo.unlp.edu.ar/detise/amenazasinformaticas-3918

Guía de gestión de riesgos. (s. f.). https://gobiernodigital.mintic.gov.co/portal/Manual-

de-Gobierno-Digital/150516:Guia-de-gestion-de-riesgos

Maneras de evitar ataques de ingeniería social. (2023, 25 septiembre).

www.kaspersky.es. https://www.kaspersky.es/resource-center/threats/how-to-

avoid-social-engineering-attacks