• Author / Uploaded
• ALEXANDER PADILLA SÁNCHEZ

Citation preview

SGSI (information security management system, ISMS)

ALEXANDER PADILLA SANCHEZ

TUTORA JENNY ARCOS

FUNDACION UNIVERSITARIA DEL AREA ANDINA INGENIERIA DE SISTEMAS 2019

Introducción

Las empresas están expuestas a diversos factores que afectan su operatividad, funcionalidad, y continuidad en el mercado. Estos factores externos o internos pueden llegar a causar el cierre definitivo de la compañía. Como miembros del departamento de TI debemos apuntar a generar planes de acción que mitiguen o minimicen los efectos de los factores que ataque la compañía, garantizado un plan de continuidad que apalanque la gestión del negocio.

Objetivos Objetivo de aprendizaje



Poner en práctica los conocimientos adquiridos, detectando riesgos, amenazas, vulnerabilidades y generando un plan de gestión del negocio.



Describir los principales problemas de seguridad informática con los que se enfrentas los usuarios de computadoras.



Conocer los conceptos de Integridad, confiabilidad y disponibilidad de la información.



Conocer los factores de riegos

Resultado de preguntas 1 y 2 en guía Eje 3 El siguiente análisis enfoca su fin en reconocer vulnerabilidades con mayor relevancia en un sistema de información (distribución de dispositivos, servidores, programas) de una subestación eléctrica digital. El producto obtenido es una relación de vulnerabilidades detalladas y ofrecimiento de estrategias de solución. Los puntos más vulnerables de las arquitecturas de comunicaciones se encuentran en el bus de proceso, principalmente en los equipos de comunicaciones que transportan todos los datos intercambiados entre los IEDs. El bus de proceso comunica los protocolos; ambos tienen requerimientos de desempeño en cuanto a tiempo de transporte muy exigentes, lo cual a su vez es lo que dificulta lograr un nivel de seguridad cibernética deseada.

En la figura anterior se pueden ver claramente los puntos vulnerables en la arquitectura de comunicaciones de las subestaciones eléctricas. En la arquitectura se incluye la red WAN (Wide Area Network), a pesar de ser vulnerable ante malas configuraciones, tiene un nivel de seguridad mayor al bus de proceso; a diferencia de los protocolos multicast, el enrutamiento de protocolos TCP orientados a la conexión logra una comunicación segura entre subestaciones. El atacante intentará vulnerar el sistema a través de diferentes puntos débiles de la red en el bus de proceso, por ejemplo, podría acceder a través de puntos de acceso inalámbrico sin aislamiento entre la red del proceso y la red corporativa.

La alternativa que permite solucionar la falta de documentación en el estándar en cuanto a temas de seguridad informática es la IEC 62351. El estándar IEC 62351 contiene información acerca del uso de Transport Layer Security (TLS) y esto puede prevenir algunos de los ataques conocidos.

Resultado: 10 de riesgos de seguridad informática (de acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en donde se relacionan actividades de mitigación del impacto por cada riesgo identificado. 

Aplicaciones en condiciones vulnerables (ISO 27005) Instalar un cortafuegos para aplicaciones de uso web para ganar tiempo mientras se corrigen las aplicaciones. Los cortafuegos de hadware o software impiden que se exploten las vulnerabilidades del tráfico de la red y de las aplicaciones web. No instalar aplicaciones desconocidas con procedencia web u otra.



Sistemas operativos, vulnerables y sin actualizaciones (ISO 27005) Si bien los usuarios de Windows 7, Windows Server 2008 R2, y Windows Server 2008 que tengan actualizaciones automáticas ya están protegidos, Microsoft lanzó actualizaciones especiales para sistemas que también son vulnerables a otras amenazas y para los cuales la compañía ya no ofrece soporte, como son Windows XP y Windows Server 2013. Instalación de versiones recientes de sistemas operativos, estos son diseñados para evitar la exposición de las versiones anteriores.



Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes (ISO 27005) Desarrollar con los estándares establecidos para tal fin. No solo añadir funciones y mejoras en la estabilidad, sino arreglar agujeros de seguridad que podrían poner en riesgo la información. Contratación con empresas desarrolladoras con certificaciones en calidad y años de experiencia en el mercado.



Tecnologías obsoletas (ISO 27005) Realizar un plan de cambio de equipos y programas como una inversión y no como un gasto, porque permite disfrutar de las mejores ventajas a la hora de utilizar la tecnología para mejorar los procesos de negocio. Ejecutar los cambios bajo la asesoría de un profesional en el área de las Tic´s



Mal rendimiento de la infraestructura IT (ISO 27005) La planificación, los proyectos de mejora y el monitoreo son solo algunos de los procesos que forman parte de la gestión y que deben ser adaptados según las necesidades de la organización en cuestión. La gestión de incidentes, de problemas, de cambios, de configuración, de parches, de capacidad, de proveedores, de seguridad, de continuidad del servicio y de niveles de servicio debe entonces adaptarse a la compañía. Obviamente, al modernizar tanto los servidores como las redes y los sistemas de almacenamiento se está apostando por un sistema rápido en materia de procesamiento o transferencia, pero son muchas las variables que deben tomarse en cuenta al momento de aumentar el rendimiento de la infraestructura informática. De hecho, seleccionar rigurosamente la tecnología que se empleará sienta las bases del rendimiento venidero.



Uso no autorizado del equipo (Guia 7 MinTic) Uno de los mejores métodos para evitar que otras personas puedan tener acceso a nuestra información personal y a nuestras cuentas consiste en asegurarnos que la contraseña que hemos elegido para que se inicie la sesión en el sistema operativo sea segura. Todos los usuarios de computadoras deberían estar familiarizados con los firewalls, programas antivirus y programas maliciosos. Estos programas trabajan en conjunto y deben utilizarse para proveer el máximo nivel de seguridad para proteger su computadora. Son necesarios para protegerlo de amenazas que tienen como fin dañar, frustrar o infligir actividad ilegítima en su computadora.



Copia fraudulenta del software (Guia 7 MinTic) Consolidación de todos los registros de licenciamiento en un reporte que puede ser mantenido o modificado por la organización en el futuro. Disponibilidad de asesoría y experiencia respecto a licenciamiento a través de un proceso gratuito y con agentes especializados.



Uso de software falso o copiado (Guia 7 MinTic) Las empresas de software hacen las auditorías, inclusive con firmas de abogados, y en algunos casos incluyen una visita no anunciada, en la que llegan acompañadas de un perito, con el cual hacen un inventario de todo lo instalado y solicitan las pruebas de licenciamiento. Luego comparan. Si hay faltantes, se puede incurrir en ilegalidad, lo que genera tres consecuencias:

Le obligan a comprar el software que está utilizando, indemnizar al fabricante y adicionalmente pagar los trámites jurídicos. 

Corrupción de los datos (Guia 7 MinTic) Si los mecanismos adecuados se emplean para detectar y remediar la corrupción de los datos, la integridad de los datos se puede mantener. Esto es particularmente importante en la banca, en donde un error puede afectar drásticamente un saldo de la cuenta, y en el uso de cifrado o compresión de datos, donde un pequeño error puede hacer que una amplia base de datos inservible.



Procesamiento ilegal de datos (Guia 7 MinTic) Se deben presentar los principios y las garantías de protección de datos que deben prevalecer y su aplicación e interpretación en un ambiente de comercio electrónico u otro fin. El derecho fundamental de la protección de los datos persigue garantizar a la persona un poder de control sobre cualquier tipo de dato personal, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y el derecho afectado

Conclusiones 

Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan en forma cada vez más directa sobre las personas. En consecuencia, se requieren efectivas acciones de concientización, capacitación y difusión de mejores prácticas.



Es necesario mantener un estado de alerta y actualización permanente: la seguridad es un proceso continuo que exige aprender sobre las propias experiencias.



Las organizaciones no pueden permitirse considerar la seguridad como un proceso o un producto aislado de los demás. La seguridad tiene que formar parte de las organizaciones.



Debido a las constantes amenazas en que se encuentran los sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques informáticos que luego se pueden traducir en grandes pérdidas.



Los ataques están teniendo el mayor éxito en el eslabón más débil y difícil de proteger, en este caso es la gente, se trata de uno de los factores que han incentivado el número de ataques internos. No importando los procesos y la tecnología, finalmente el evitar los ataques queda en manos de los usuarios.

Referencias Bibliográficas

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

IDENTIFICACIÓN DE VULNERABILIDADES DE SEGURIDAD EN EL CONTROL DE ACCESO AL SISTEMA DE GESTIÓN DOCUMENTAL, MEDIANTE PRUEBAS DE TESTEO DE RED EN LA EMPRESA INGELEC S.A.S, Pasto, 2015 https://core.ac.uk/download/pdf/47279344.pdf

https://www.iso.org/standard/75281.html