Eje 4 SGSI

ACTVIDA EVALUATICA EJE 4 SISTEMAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA PRESENTADO POR: NICOLAS VARGAS JIMENEZ NEIDER OR

Views 115 Downloads 4 File size 91KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Taller Eje 4 SGSI
Taller Eje 4 SGSI

55 28 1MB Read more

Actividad Evaluativa Eje 4- SGSI
Actividad Evaluativa Eje 4- SGSI

25 1 204KB Read more

SGSI EJE 2 FORO
SGSI EJE 2 FORO

120 19 533KB Read more

Eje 4.2 SGSI Resuelto
Eje 4.2 SGSI Resuelto

16 2 111KB Read more

SGSI EJE 3
SGSI EJE 3

VULNUERABILIDAD EN LAS REDES JOSE EDUARDO HERNANDEZ POLANCO ING. LUIS FRANCISCO LOPEZ URREA FUNDACION UNIVERESITARIA

63 4 121KB Read more

ACTIVIDAD EVALUATIVA EJE 2 SGSI
ACTIVIDAD EVALUATIVA EJE 2 SGSI

ACTIVIDAD EVALUATIVA EJE 2 FORO DEBATE KEINER JOSE ZARATE VALENCIA TANIA LISNEY GUTIERREZ OROZCO JOHAN MARTINEZ MELO A

26 3 85KB Read more

Sgsi
Sgsi

455 1 624KB Read more

Actividad evaluativa eje 2 SGSI
Actividad evaluativa eje 2 SGSI

17 4 85KB Read more

SGSI
SGSI

254 3 941KB Read more

SGSI
SGSI

17 0 1MB Read more

Citation preview

ACTVIDA EVALUATICA EJE 4

SISTEMAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA

PRESENTADO POR: NICOLAS VARGAS JIMENEZ NEIDER ORLANDO CASTILLO PINZON ALVARO JAVIER GONZALEZ

INSTRUCTOR: JENNY ARCOS

INGENIERÍA DE SISTEMAS - MODALIDAD VIRTUAL FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA BOGOTA D.C. MARZO DE 2020

INTRODUCCIÓN

En la actividad realizada se analizó la vulnerabilidad de la empresa, en la cual la gestión de riesgos juega un papel importante dentro de la organización, estos procesos permiten la reducción de pérdidas y ayudan a brindar la protección para los sistemas de la empresa, en donde se conocerá a través de este proceso las debilidades que pueden afectar durante todo el ciclo de vida del servicio. Es necesario realizar la ejecución de un buen plan de gestión de riesgos para permitir y garantizar la continuidad del negocio. Dentro del plan ejecutado permite identificar la vulnerabilidad y el nivel de riesgo en que se encuentra el estado de seguridad del sistema, los resultados obtenidos se ajustara los procedimientos de seguridad y se darán a conocer a los funcionarios de la empresa.

OBJETIVO

Desarrollar un plan de riesgos de seguridad de la información en la cual permita reducir los riesgos en la empresa, identificar y clasificar la vulnerabilidad o debilidades que se encuentren dentro del sistema.

TALLER EJE 4

1. Elabore un análisis de las vulnerabilidades de la red en la que ha venido trabajando  Diagnóstico de Seguridad 

Escaneo de vulnerabilidades externas  Ingreso de equipos externos que se vincularan a la red corporativa  Ataques externos  Software autorizado y licencias



Escaneo de vulnerabilidades internas Administración de políticas Evaluar redes, bases de datos y aplicaciones Autenticación de usuarios y control de accesos Vulnerabilidad de configuración de sistemas aplicaciones corporativas  Simulaciones de ataques internos a través de la red  Software autorizado y licencias  Vulnerabilidades en la infraestructura    

operativos

y

 Políticas de administración de seguridad  Procesos de seguridad informática  Documentación de recomendaciones de buenas prácticas de seguridad informática, en la cual se realicen ajustes de la arquitectura adecuada para la organización  Auditoria y planeación ante eventos que comprometan la seguridad  Documento e informe de recomendaciones ante eventos de seguridad

2. Analice las posibles amenazas funcionamiento de la compañía.

que

pueden

llegar

a

afectar

el



Correos maliciosos o dudosa procedencia



Medios extraíbles (Robo información o vinculación virus)



Ransomware



Dispositivos móviles Desprotegidos (Robo información)



Perdida de información



Respaldo de información en la nube

3. Desarrolle un plan de gestión de riesgos de seguridad informática (de acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para cada amenaza y vulnerabilidad se genere un plan de acción que minimice el impacto.

Plan de Gestión de Riesgos

Situación no deseada       

Hurto de información o equipos informáticos Robo de información en horarios laborales y fuera. Incendio en las instalaciones de la empresa, desastre natural o de manera intencional. Robo de contraseñas y de información. Fallas de cobertura de internet y enlaces. Daño de equipos Acceso y manipulación a información no autorizada.

Identificación del Riesgo

La información de la empresa se ve expuesta a amenazas que inician desde las negligencias de los mismos colaboradores y entre otras amenazas como:

La red de la empresa no cuenta con la capacidad y calidad para suministrar el enlace para los equipos de cada colaborador, esta presenta lentitud e intermitencia, estas fallas afectan directamente a cada uno del personal de la empresa ya que afecta sus tiempos de procesos del diario.

Dentro de la empresa hay un volumen de colaboradores los cuales los puestos de trabajo no cuentan con la cantidad de puntos de red que se requieren para cada uno, por tal motivo el personal faltante por red se conecta por wifi. En la infraestructura de la empresa no se tiene el protocolo de direccionamiento fijo, los cables de energía de los equipos no están adecuadamente organizados, no cuentan con la distancia correcta para conectar los equipos; esto puede ocasionar la desconexión de los equipos por accidente y se pierda información que se estaba procesando la cual que no permita guardar adecuadamente.

Socialización de políticas de seguridad de información, el personal debe conocer las políticas establecidas para evitar incumplimientos de las reglas como los son: 

  

Comer o beber en el puesto de trabajo, un derrame o partículas de comida pueden afectar los equipos de trabajo, provocando daños irreparables y generando pérdidas de información. Reutilización de papelería en la cual contiene información confidencial y privada. Prohibido el préstamo credencial de sesión y accesos a los compañeros de trabajo Credenciales escritas en notas adhesivas.

En la empresa se debe establecer políticas de seguridad en la cual no permita el uso de usb o discos duros extraíbles ya que se utilizan para realizar traslado de información de la empresa fuera de esta. Compra de licencias para funcionamiento de paquetes de Office Documentación en físico no están digitalizados están expuestos a perdidas La empresa no cuenta con un proceso de copias de seguridad, el personal está guardando información en equipos de trabajo de manera local sin ninguna sincronización por un servidor de respaldo.

Se debe implementar un plan de energía para la empresa, se presentan cortes de energía frecuentes los cuales pueden dañar los equipos.

Roles Involucrados

   

Directivos Líderes de Procesos Administradores de Sistemas de información Funcionarios

4. Entregar informe y evidencia del trabajo desarrollado, cada estudiante debe realizar la entrega de la actividad

CONCLUSIONES Las novedades o falencias dentro de la empresa permitieron generar un plan de riesgos en la cual evidencia vulnerabilidades dentro del sistema, estas brechas son la oportunidad de prevenir y mitigar estas novedades. Se debe ajustar y aplicar las políticas y normas de seguridad en la cuales se deben cumplir comenzando por cada colaborador de la empresa.

BIBLIOGRAFIAS

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf https://www.onasystems.net/vulnerabilidades-importantes-afectan-la-seguridadbases-datos-las-empresas/ https://www.rittaltic.es/principales-riesgos-y-amenazas-seguridad-it/ https://www.securityartwork.es/2008/10/27/seguridad-y-riesgos-en-las-tic-i/