• Author / Uploaded
• Diego Alexander Diaz Garcia

Citation preview

ACTIVIDAD EVALUATIVA EJE 4 SGSI (Information Security Management System, ISMS) SISTEMAS DE GESTION DE SEGURIDAD GRUPO 011

INGENIERA: JENNY ARCOS

DIEGO ALEXANDER DIAZ GARCIA JULIAN DAVID RIOS HERRERA

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA

INTRODUCCIÓN El presente

trabajo tiene como objetivo detectar riesgos, amenazas,

vulnerabilidades de una red empresarial, generando un plan de gestión de seguridad a esta red empresarial. La seguridad en una red se ha vuelto muy importante en nuestros tiempos debido a la globalización y también en estos tiempos en que debemos trabajar en nuestras casas por el tema de la cuarentena por el CORONAVIRUS.

“Es importante resaltar que el acceso a las TIC es un derecho humano estipulado en la ley 1712 de 2014 (Articulo 4), norma que tiene como objeto regular el derecho y la garantía de acceso a la información pública, bajo los principios de la máxima publicidad para el titular universal, la transparencia, el acceso a la información pública, la no discriminación, la igualdad, entre otros” [CITATION Ric20 \l 9226 ].

OBJETIVOS -

Detectar los riesgos, amenazas y vulnerabilidades en un sistema de una empresa.

-

Generar un plan de gestión para mitigar todas estas amenazas.

-

Poner en práctica los conocimientos adquiridos en la materia

2

DESARROLLO 1. Elaborar un análisis de las vulnerabilidades de la red que ha venido trabajando. A continuación veremos la imagen de la Red Informática que se va a analizar

Esta imagen corresponde a la topología de la red informática de un parqueadero, A A continuación enunciare los equipos que se encuentran allí: -

13 interfonias

-

1 estación de trabajo

-

4 entradas

-

4 cajeros Automaicos

-

4 salidas

-

3 Switch (Estos transportan la información de las entradas, salidas, cajeros, interfonias, estaciones de trabajo y la envía a un Switch CORE)

-

1 switch CORE (Este recoge toda la información de estos 3 switch enunciados anteriormente y la envía al servidor)

-

1 servidor (En este servidor se almacena toda la información)

-

1 firewall (Este protege la red de posibles ataques internos y externos). 3

Después de ver los equipos que tiene la red procedemos a realizar el análisis de las vulnerabilidades de esta red: -

Claves de Usuario no cambiadas.

-

Equipos sensibles a cambios de voltaje.

-

Mantenimiento mal realizado.

-

Falta de documentación de especificaciones de la red.

-

Falta de equipos de respaldo.

-

Copia de la base de datos no constante

-

Baja seguridad para acceso remoto

-

Permisos de actividades sin control de los usuarios

-

Baja seguridad en los equipos

-

Cableado con baja seguridad

2. Analice

las

posibles

amenazas

que

pueden

funcionamiento de la compañía. Al analizar la red se identificaron las siguientes amenazas: -

Daños realizados por otras personas.

-

Pérdida de Electricidad.

-

Robo de algún equipo.

-

Instalación de Software no permitido.

-

Mal funcionamiento de algún equipo de la red.

-

Cambios no autorizados de la configuración.

-

Accesos a personas no autorizadas

-

Daños a la configuración.

-

Divulgar las contraseñas

-

Uso indebido de los equipos

4

llegar

a

afectar

el

3. Desarrolle un plan de gestión de riesgos de seguridad informática (de acuerdo con la ISO 27005 y la guía 7 del ministerio de la TIC), en donde para cada amenaza y vulnerabilidad se genere un plan de acción que minimice el impacto. Teniendo en cuenta las amenazas y las vulnerabilidades de los puntos anteriores se generan las siguientes acciones: Vulnerabilidades -

Claves de Usuario no cambiadas: Generar con las personas que manejan el sistema unas normas para la creación y manejo de contraseñas. También hacer que el sistema al momento de crear las contraseñas tengan ciertas normas de seguridad y que sean cambiadas cierto periodo.

-

Equipos sensibles a cambios de voltaje: Instalar UPS’s con suficiente capacidad de soportar la carga para cada sección, es decir, serian 4 UPS. Una para la parte de salidas, una para entradas, una para cajeros y la ultima en donde está el servidor el switch CORE y firewall. También tener la red eléctrica independiente.

-

Mantenimiento mal realizado: Capacitar constantemente al personal encargado de esta labor. También se debe de realizar esta labor en periodos no muy largos según especifique el fabricante.

-

Falta de documentación de especificaciones de la red: Realizar un DOSIER

con

toda

la

información

del

sistema

con

manuales

y

especificaciones de configuración. También realizar una documentación de cada mantenimiento preventivo y correctivo del sistema -

Falta de equipos de respaldo: Instalar equipos que hagan redundancia, es decir que estén como backup o que al momento que llegue a fallar algún equipo inmediatamente este equipo de respaldo empiece a funcionar. 5

-

Copia de la base de datos no constante: Realizar un protocolo de creación de backup en discos duros externos en donde este no se utilice en otro lugar. También configurar el sistema a que este haga backup de la configuración y de su base de datos cada determinado tiempo y en un lugar específico seguro para que si llega a pasar algo se pueda utilizar el backup.

-

Baja seguridad para acceso remoto: Realizar protocolos de seguridad en switches, programas de acceso y contraseñas para poder restringir este acceso.

-

Permisos de actividades sin control de los usuarios: Establecer restricciones en los usuarios del sistema para el manejo del software.

-

Baja seguridad en los equipos: Establecer protocolos de manejo de los equipos de la red.

-

Cableado con baja seguridad: Establecer protocolos de instalación, marquillado y mantenimiento del cableado de la red.

Amenazas -

Daños realizados por otras personas: Generar protocolos de seguridad para el acceso a los equipos para personas que no tengan que ver nada con la operación del sistema. También restringir el acceso a personas desconocidas al lugar en donde se encuentran los equipos.

-

Pérdida de Electricidad: Instalar UPS’s con suficiente capacidad de soportar la carga para cada sección, dar un tiempo de soporte y poder activar una planta eléctrica y así evitar que la operación del sistema se detenga. 6

-

Robo de algún equipo: Generar protocolos de seguridad para evitar hurtos, como guayas instaladas en los equipos y cerramiento de los RACKs de comunicación.

-

Instalación de Software no permitido: Generar protocolos en los usuarios de cada sistema operativo de cada equipo, restringiendo la instalación de software que no sean permitidos por la empresa.

-

Mal funcionamiento de algún equipo de la red: Generar un plan de mantenimiento preventivo a los equipos de la red.

-

Cambios no autorizados de la configuración: Generar usuarios al sistema que no tengan acceso a la configuración del sistema. También solo las personas que están capacitadas y autorizadas pueden tener la clave del usuario que puede realizar las configuraciones del sistema.

-

Accesos a personas no autorizadas: Generar usuarios que solo tengan acceso a lo que le corresponde al área para la que trabaja.

-

Daños a la configuración: Capacitar constantemente al personal que se encarga de realizar las configuraciones. También realizar documentación de cada cambio de la configuración que se realice.

-

Divulgar las contraseñas: Generar protocolos de seguridad de que las contraseñas son personales. También capacitar al personal sobre las consecuencias que puede traer el compartir las contraseñas.

-

Uso indebido de los equipos: Capacitar al personal que tiene acceso a los equipos de la red sobre el uso de los equipos, Tambien hacer

7

capacitaciones de los protocolos de seguridad que se deben manejar en estos equipos.

CONCLUSIONES Después de analizar y desarrollar la actividad, podemos concluir que una red de datos puede ser muy vulnerable, y si no aplicamos ciertas normas de uso puede ocasionar muchos daños a la red, también puede ocasionar perdida de información ocasionando perdidas incalculables a una compañía. Por esta razón debemos manejar los protocolos de seguridad.

8

REFERENCIAS

Guia para la implementacion de Seguridad de la Informacion en una MIPYME (2016). Obtenido de https://www.mintic.gov.co/gestionti/615/articles5482_Guia_Seguridad_informacion_Mypimes.pdf

Guia de Gestion de Riesgos (2016). Obtenido de https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

Guia Para la Gestion y Clasificacion de Activos de Informacion (2016). Obtenido de https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf Lopez, R. (2020). Sistemas de Gestión de Seguridad Informatica. Minitic. (s.f.). Obtenido de https://www.mintic.gov.co/portal/604/articles3510_documento.pdf Minitic.gov.co. (11 de 07 de 2011). Obtenido de https://www.mintic.gov.co/portal/604/articles-3510_documento.pdf

9