Fase 3 - Prototipa la solución

Estudiantes
Diego Armando Pérez Mayorga
Diego Alejandro Serrano Pinto
Yuleima Arenas Torrado

Director
Carlos Alberto Vera Romero

Universidad Abierta y a Distancia – UNAD

Proyecto de Ingeniería I
Abril - 2024
Índice
 Introducción
El siguiente trabajo corresponde a la fase 3 y busca diseñar un sistema como
alternativa de solución a una problemática empresarial o industrial o logística ambiental o de
seguridad u otra, mediante la aplicación de procedimientos propios de las ciencias básicas, a
partir del análisis disciplinar de alternativas de solución, con la intención de ser solucionado
mediante la aplicación de conceptos propios de ingeniería.

Adicionalmente, es importante saber que los continuos informes acerca de

vulnerabilidades en los sistemas de información, el aprovechamiento de falencias bien sea
humanas, procedimentales o tecnológicas sobre instalaciones o infraestructuras de cómputo
en el mundo, proporcionan un ambiente inigualable para que se practiquen algunas técnicas
de ataque que a menudo son utilizadas para saltear uno o varios de los controles
implementados como parte de la defensa, tendencias relacionadas con intrusiones
informáticas. Estos intrusos poseen diferentes motivaciones, alcances y estrategias que
desconciertan a analistas, consultores y cuerpos de especiales investigaciones, pues sus
modalidades de ataque y penetración de sistemas varían de un caso a otro.
 Elección de la problemática
Elección de la problemática para trabajar en la solución durante el periodo académico
vigente y su respectiva justificación de porque dicha elección según debate realizado con lo demás
integrantes al interior del grupo colaborativo.
En el grupo de WhatsApp, se decidió junto a los compañeros que el problema a abordar para
investigar y dar solución es la fuga de datos.

Seleccionamos la problemática de “fuga de datos o información”, puesto que las empresas

actualmente sufren ataques cibernéticos y múltiples vulnerabilidades a sus sistemas informáticos,
debido a la falta de ciberseguridad. Las organizaciones buscan prevenir y solucionar este problema,
debido a que por ejemplo las bases de datos accedidas a través de contraseñas o claves, son de vital
importancia dentro de una compañía y solo deben ser abiertas por personal autorizado, si dicha
información llega a manos criminales las consecuencias son muy negativas.

Árbol de problema realizado

Árbol de objetivos realizado

 Poner la elección de la alternativa de solución con su respectiva justificación a partir del
análisis del árbol de objetivos de porque dicha elección según debate realizado con lo demás
integrantes al interior del grupo colaborativo.

 Elección de la alternativa de solución: Medidas de Ciberseguridad Robustas.

 Paso 1

Plantear el diseño de un sistema de ingeniería (ejemplo: diseño de un producto/servicios,

proceso, estación de trabajo o sistema productivo, diseño de planta, algoritmos, simulación,
arquitectura, modelo, etc.) Como solución a una situación problemática empresarial o industrial o
logística.

 Problema: Fuga de datos confidenciales de la empresa Magic Moda

 Tipo de sistema: Implementar un Servicio de Protección de Datos (SPD), el cual se

puede clasificar como un sistema sociotécnico complejo. Esto significa que combina
elementos de tecnología, procesos y personas para lograr su objetivo de proteger la
información confidencial.

 Descripción: El Servicio de Protección de Datos (SPD) es una solución integral que

protege la información confidencial de las empresas contra fugas, robos y accesos no
autorizados. El SPD ofrece una amplia gama de servicios, incluyendo:

 Evaluación de riesgos
 Análisis de la infraestructura de TI y los procesos de la empresa para identificar
vulnerabilidades.
 Identificación de los datos confidenciales y su ubicación.
 Evaluación del impacto potencial de una fuga de datos.

 Implementación de medidas de seguridad

 Controles de acceso: Implementar un sistema de autenticación multifactor (MFA) y
control de acceso basado en roles.
 Protección de datos: Encriptación de datos confidenciales en reposo y en tránsito,
control de versiones y eliminación segura de datos.
 Concienciación y formación: Capacitación a los empleados en seguridad de la
información, incluyendo políticas de uso de dispositivos, correo electrónico y redes
sociales.
  Monitorización y análisis
 Monitorización de la red y los sistemas para detectar actividades sospechosas.
 Análisis de los registros de seguridad para identificar posibles vulnerabilidades.

 Respuesta a incidentes
 Definición de un plan de respuesta a incidentes que incluya roles, responsabilidades y
pasos a seguir.
 Investigación de los incidentes de forma exhaustiva para determinar la causa y el
impacto.
 Implementación de medidas correctivas para evitar que se repitan los incidentes.

 Soporte técnico
 Soporte técnico 24/7 para resolver problemas de seguridad y responder a incidentes.
 Actualización periódica de las medidas de seguridad para adaptarse a las nuevas
amenazas.

Objetivo: proteger la información confidencial de las empresas y minimizar el riesgo de

fugas de datos.
(Yuleima Arenas).
-----------------------------------------------------------------------------------------------------------------
Situación problemática de seguridad: acceso no autorizado al sistema de la compañía.

Tipo de sistema: Diseño de un producto/servicio.

Descripción: Sistema de acceso autorizado para la empresa.
Objetivo:
Implementar un sistema de acceso autorizado a las plataformas utilizadas por la
organización, que permita mejorar la ciberseguridad del sistema y evite el ingreso de personas no
autorizadas, mediante la utilización de un software que brinde mejor protección para las contraseñas
y claves utilizadas por los colaboradores. (Diego Serrano).

Paso 2
 El sistema diseñado de la solución se presentará con la descripción de los elementos del
sistema (entradas, procesos, salidas y retroalimentación del sistema (mecanismo de control)).
Implementar un Servicio de Protección de Datos (SPD)

Entradas Procesos Salidas Retroalimentación Mecanismos de

del sistema control
Información Evaluación de Encriptación: Los
Medición del Monitorización de la
confidencial de la riesgos: Análisis de datos sensibles rendimiento del red y los sistemas para
SPD: Evaluación detectar actividades
empresa: Datos la infraestructura de como información
periódica de la sospechosas.
sensibles como TI y los procesos de financiera, de eficacia del servicio
información la empresa para clientes y empleados para identificar Análisis de los registros
áreas de mejora. de seguridad para
financiera, de identificar se encriptan en identificar posibles
clientes y vulnerabilidades. reposo y en tránsito Auditorías de vulnerabilidades.
empleados. para garantizar su seguridad: Revisión
Implementación de independiente de la Definición de un plan
confidencialidad. de respuesta a
seguridad del
Infraestructura de medidas de
sistema para incidentes que incluya
TI de la seguridad: Control de detectar roles, responsabilidades
empresa: Redes, acceso: Se vulnerabilidades. y pasos a seguir.
Controles de
servidores, implementa un
Actualización de las Investigación de los
acceso: Implementa
aplicaciones, sistema de medidas de incidentes de forma
r un sistema de seguridad: Adaptaci exhaustiva para
dispositivos. autenticación
autenticación ón del servicio a las determinar la causa y el
multifactor (MFA) y
nuevas amenazas y impacto.
Necesidades y multifactor (MFA)
control de acceso tecnologías.
requisitos de y control de acceso Implementación de
basado en roles para
seguridad de la basado en roles. Recopilación de medidas correctivas
restringir el acceso a
comentarios de los para evitar que se
empresa: Nivel
la información usuarios: Obtención repitan los incidentes
Protección de
de protección de feedback de los
confidencial solo a
datos: Encriptación
deseado, políticas usuarios para
las personas
de datos mejorar el servicio
de seguridad
autorizadas
confidenciales en
existentes.
reposo y en tránsito,
Protección de la
control de versiones
red: Se implementa
y eliminación
un firewall y
segura de datos.
sistemas de
detección de
Concienciación y intrusos (IDS) para
formación: Capacita proteger la red
ción a los contra intrusiones y
empleados en ataques.
seguridad de la
Seguridad de los
información,
sistemas: Se
incluyendo políticas
implementan
de uso de
medidas de
dispositivos, correo
seguridad en los
electrónico y redes
servidores,
sociales.
aplicaciones y
dispositivos para
protegerlos contra
vulnerabilidades y
ataques.

Capacitación: Se
ofrece capacitación
a los empleados
sobre seguridad de
la información,
incluyendo políticas
de uso de
dispositivos, correo
electrónico y redes
sociales.

Concientización: Se
promueve una
cultura de seguridad
en la empresa para
que los empleados
sean conscientes de
 los riesgos de
seguridad y sepan
cómo prevenirlos

(Yuleima Arenas).
-----------------------------------------------------------------------------------------------------------------
Descripción de los elementos del sistema
Entradas Procesos Salidas Retroalimentació Mecanismos
n del sistema de control
Contraseñas y Gestión de: *Datos *Monitoreo *Verificar que
claves de: *Contraseñas de protegidos y permanente de los
*Usuarios usuarios blindados potenciales riesgos colaboradores
*Correos *Clave de contra las o vulnerabilidades realicen la
*Plataformas correo múltiples de la información implementación
*Computadores institucional vulnerabilidades *Evaluación de la de cada una de
*Wi-Fi *Código de a las que se efectividad del las políticas de
Software: plataforma enfrenta un sistema en la ciberseguridad
Identity empresarial sistema ciberseguridad de robustas,
Security *Número de empresarial. la organización implementadas
Cloud de ingreso a PC *Búsqueda *Recopilación de y exigidas por
SailPoint. en general preventiva y realimentación de la empresa.
Es un programa *Clave Wi-Fi visibilidad de los colaboradores, *Solicitar
que ofrece el *Análisis de riesgos con el fin de cambios de
servicio de vulnerabilidades inminentes a la comprobar la contraseñas
ciberseguridad *Seguridad de información efectividad y periodicamente
de calidad. la información confidencial de garantía del y uso de claves
Funciona a en general. la compañía. sistema. complejas.
través de IA.
Hardware: *Marcación por *Mayor * Monitoreo *Verificar que
los empleados
Lector de huella comodidad y permanente a los
conecten el
huella digital. *Hardware ciberseguridad dispositivos producto a los
computadores
Es un producto (lector * Verificación de electrónicos, con el
antes de
USB que biométrico) y identidad del propósito de evitar utilizarlos y que
permite que softwares personal de la que personal no lo usen
compañía con correctamente.
solo los integrados autorizado los
empleados con *Asignación una alta utilice *Exigir a los
confiablidad. colaboradores
permiso puedan automática de *Recopilación de que, si hay
*Protección de la
ingresar al turnos recomendaciones fallas en las
Información de funcionalidades
computador o a *Interfaz con de mejora. del dispositivo,
los dispositivos
las diferentes nómina * Encuestas de la informen al
electrónicos y área de sistemas
plataformas *Soporte periféricos
efectividad del para que les
empresariales. técnico. utilizados. producto. brinden el
soporte técnico.

(Diego Serrano).

Paso 3
Así mismo se debe graficar un modelo mental o representación gráfica del sistema diseñado.

(Yuleima Arenas).
(Diego Serrano).

Paso 4

Finalmente se explicará como el sistema diseñado soluciona la problemática inicialmente

planteada y que resultados se alcanzarán al ser implementado este sistema.

El Servicio de Protección de Datos (SPD) puede abordar la problemática de fuga de datos en

una empresa de varias maneras:

 Implementación de políticas de seguridad de datos: El SPD establece políticas y

procedimientos claros para manejar y proteger los datos de la empresa. Esto incluye
 la clasificación de datos, el acceso autorizado, la gestión de contraseñas, el cifrado de
datos sensibles y la eliminación segura de datos obsoletos.

 Control de acceso: El SPD permite a la empresa controlar quién puede acceder a qué
datos. Esto se logra mediante la implementación de sistemas de autenticación
robustos, como contraseñas seguras, autenticación de dos factores y sistemas de
gestión de identidades.

 Monitorización y detección de anomalías: El SPD puede supervisar el tráfico de

datos en tiempo real para detectar comportamientos anómalos que podrían indicar una
fuga de datos. Esto incluye la monitorización de accesos no autorizados, intentos de
acceso repetidos, transferencias de datos inusuales, entre otros.

 Cifrado de datos: El SPD puede cifrar los datos sensibles mientras están en tránsito
o en reposo. Esto garantiza que incluso si los datos son interceptados, no puedan ser
utilizados por personas no autorizadas sin la clave de cifrado adecuada.

 Capacitación y concienciación del personal: El SPD incluye programas de

formación para el personal sobre prácticas seguras de manejo de datos y la
importancia de la seguridad de la información. Esto ayuda a reducir los errores
humanos que podrían conducir a fugas de datos.

 Cumplimiento normativo: El SPD ayuda a garantizar que la empresa cumpla con

las regulaciones y normativas de protección de datos aplicables, como el Reglamento
General de Protección de Datos (GDPR) en la Unión Europea o la Ley de Privacidad
del Consumidor de California (CCPA). Cumplir con estas regulaciones no solo evita
multas y sanciones, sino que también mejora la reputación de la empresa.

Al implementar un sistema de Servicio de Protección de Datos, la empresa puede esperar

alcanzar los siguientes resultados:

 Reducción significativa de las fugas de datos y las brechas de seguridad.

 Mayor confianza y satisfacción del cliente al demostrar un compromiso serio con la
protección de la información personal.
  Reducción de los riesgos legales y financieros asociados con incumplimientos
normativos.
 Mejora de la reputación de la empresa como un lugar seguro y confiable para hacer
negocios.
 Mejora de la eficiencia operativa al establecer procesos claros y eficaces para manejar
los datos de manera segura.
(Yuleima Arenas).
-----------------------------------------------------------------------------------------------------------------
Solución a la problemática planteada mediante el sistema diseñado
Software Identity Security Cloud de SailPoint Hardware Lector de huella digital
Con el uso de este servicio software los datos Al utilizar este producto hardware, los
están protegidos y blindados contra las múltiples dispositivos electrónicos más usados como
vulnerabilidades, a través de gestión de los computadores de mesa y portátiles, van a
contraseñas y claves, como también con el uso de estar protegidos, dado que solo el personal
la búsqueda preventiva y visibilidad de riesgos autorizado que este registrado con la huella
inminentes a la información confidencial de la digital podrá tener acceso al equipo y por
compañía. Asimismo, monitoreo permanente de ende a la información que estos dispositivos
virus y ataques de hackers. albergan.

Resultados que se alcanzarán al ser implementado este sistema

Software Identity Security Cloud de SailPoint
 Detección de ataques cibernéticos a la información confidencial
 Gestión de claves y contraseñas de los usuarios de la empresa
 Protección confiable de los datos de la organización
Hardware Lector de huella digital
 Solo los empleados de la empresa podrán utilizar o acceder a los dispositivos electrónicos.
De esta manera se evitará el acceso no autorizado a los computadores, con el fin de evitar el
robo de contraseñas y la fuga de información privada de la compañía.
(Diego Serrano).
Como grupo colaborativo seleccionan una de las propuestas, la que consideren mediante
debate en el tema de foro que es la mejor elaborada.
 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y

CIBERSEGURIDAD

1. Propósito.

Establecer el compromiso y la orientación estratégica de la empresa Magic Moda, hacia la

protección de la confidencialidad, integridad y disponibilidad de la información, así como
promover una cultura de ciberseguridad en todos los niveles de la organización y
proporcionar una base para el cumplimiento regulatorio de seguridad de información,
ciberseguridad y la gestión de riesgos de tecnología de la información.

Requerimientos.

General.

La empresa Magic Moda bajo el liderazgo de la gerencia de TI, gestionará la

seguridad de la información y ciberseguridad identificando amenazas y
vulnerabilidades que puedan comprometer los activos de la Compañía tomando las
medidas idóneas para reducir la probabilidad o impacto de eventos de riesgo que
afecten la integridad, confidencialidad y la disponibilidad de la información.

Específicos.

Para gestionar la seguridad de la información y ciberseguridad, el Gerente de IT y

el Líder de Ciberseguridad, aplicarán los siguientes lineamientos:

 Establecer estándares, procedimientos y guías en materia de seguridad de la

información y ciberseguridad.

 Implementar prácticas y campañas de información que fortalezcan la cultura de

seguridad de la información y ciberseguridad en los empleados, proveedores y

contratistas.

 Gestionar la continuidad tecnológica del negocio frente a la materialización de

incidentes de seguridad de información y ciberseguridad.

 Apoyar la innovación tecnológica.

 Proteger los activos tecnológicos.

Responsabilidades.

Comité Estratégico de Ciberseguridad

El Comité es responsable de dar orientación estratégica para mantener alineación
entre los objetivos empresariales y los niveles adecuados de integridad,
confidencialidad y disponibilidad de los sistemas tecnológicos y la información.

Gerente de Tecnología de la Información, Líder de Ciberseguridad

Son responsables del diseño estratégico y el establecimiento de los requerimientos

específicos.
Instaurar un Sistema de Gestión de Seguridad de la Información (SGSI) con el fin
principal de fomentar un ambiente de confianza empresarial.

Supervisores.
Los Supervisores, son responsables de gestionar que los proyectos desarrollados y
aprobados dentro de sus áreas o disciplinas funcionales cumplan con los
requerimientos de esta política y el estándar de seguridad de la información y
ciberseguridad.

Empleados y terceros con acceso a los sistemas de la Compañía.

El personal de la empresa Magic Moda a todo nivel es responsable dentro de sus

áreas de tomar las medidas razonables para prevenir, detectar, mitigar y reportar
eventos de ciberseguridad y actividades que comprometan los activos de la
Compañía.
Entrenamiento.
El Gerente de Tecnología de la Información tiene la responsabilidad de desarrollar
un programa de entrenamiento y capacitación para empleados y cualquier tercero
que tenga un correo con dominio @sierracol.com o @cedco.com, y cualquier
tercero con acceso a los sistemas, información y procesos digitales de la Compañía
sobre esta Política y el estándar de seguridad de la información y ciberseguridad,
así como de sus actualizaciones o cambios.
Incumplimiento.
Si la Compañía determina que se ha producido una violación a esta Política, podrá
imponer medidas disciplinarias, según corresponda, las cuales pueden incluir
capacitación, advertencias escritas o verbales, sanciones disciplinarias, suspensión,
reasignación o terminación del contrato.
(Diego Pérez).
 Prototipo
https://www.canva.com/design/DAGCa1rLc9g/
iUN3FuWTEjE9FBDrvvcSZg/edit?
utm_content=DAGCa1rLc9g&utm_campaign=designshare&utm_medium=li
nk2&utm_source=sharebutton
(Diego Pérez).
 Conclusiones
Los objetivos de la estrategia para el plan de ciberseguridad deben estar alineados
con los objetivos del negocio, pero como las amenazas cambian frecuentemente, es
necesario revisar la estrategia anualmente para determinar si existen vacíos en el programa.

Los clientes tienden a confiar más y hacer negocios con empresas que protegen sus
datos y son más reticentes con aquellas que no. Es una prioridad conservar la confianza del
cliente y evitar cualquier incidente de ciberseguridad que destruya esa confianza.

Si tu empresa aún no cuenta con un plan de ciberseguridad, recuerda que entre más
rápido lo tenga, menos probabilidades tendrá de recibir un ciberataque y sufrir todos los
perjuicios de este.

En conclusión, la implementación de medidas para prevenir la fuga de datos es una

inversión fundamental para proteger la información confidencial, minimizar el impacto
económico, preservar la confianza de los clientes y socios, cumplir con las regulaciones y
mantener una ventaja competitiva.
 Referencias bibliográficas
Aparicio, E. (2020) – Iniciativa CDIO y su relación con el desarrollo de proyectos de
Ingeniería. Bucaramanga: UNAD. https://repository.unad.edu.co/handle/10596/3555

Barrera Ortegón, A. d. (2019). Pensamiento sistémico. [OVI]. Repositorio Institucional

UNAD. https://repository.unad.edu.co/handle/10596/23789

Herrscher, E. G. (2014). Definiendo “Sistema” En Pensamiento sistémico: caminar el

cambio o cambiar el camino. (pp. 173-174). Ediciones Granica. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/113863?page=173

Osorio Gómez, J. C. (2007). Elementos de Sistemas. En Introducción al pensamiento

sistémico (pp. 27 -32). Programa Editorial Universidad del Valle. https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/129056?page=27

Saltiveri, T. G., Vidal, J. L., y Delgado, J. J. C. (2011). Diseño de sistemas interactivos

centrados en el usuario. Editorial UOC. (pp.139-161). https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/56326?page=140

Zumba Rivera, R. (2014). Ingeniería mecánica: diseño de sistemas y tecnologías. (pp. 10-
22). Ediciones Abya-Yala.
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/79869?page=10