• Author / Uploaded
• Maria Ximena Zapata Yela

Citation preview

Encabezado: Determinando Riesgos y Amenazas 1 Asignatura: Fundamentos de la Seguridad Informática

Taller: Determinando Riesgos Y Amenazas A Los Sistemas Informáticos Y La Información

Presentado: Fredy Encarnación Paz Rubén Darío Cárdenas María Ximena Zapata Marcos Rafael Herrera Salamanca

Docente: Sandra Milena Bernate Bautista

Facultad de Ingeniería y Ciencias Básicas Fundación Universitaria del Área Andina, Calle 71 No 13-21 Bogotá Colombia 30 de septiembre 2019

Contenido

1. Introducción 2. Propósito 3. Políticas de Seguridad 4. Fases De Implementación De Políticas De Seguridad De La Información 5. Políticas Especificas 5,1. Gestión De Activos 5,2. Control De Acceso 5,3. Responsabilidad y auditorias 5,4. Capacitación Y Sensibilización En Seguridad De La Información 6. Conclusiones 7. Bibliografía

1. Introducción Con el avance permanente de los negocios, se hace cada vez más frecuente el acceso a los socios y a los proveedores a la información de las compañías, haciendo fundamental que la empresa conozca y establezca los controles de seguridad a la información de ésta, se debe controlar y gestionar los derechos de acceso de cada individuo que se conecta a la información, de tal manera que únicamente tenga acceso quien realmente la necesita. Y dada la tendencia de los usuarios móviles en crecimiento el acceso a la información podría verse afectado por los diferentes ataques contra la infraestructura que podrían exponer datos sensibles del negocio, exponiendo a daños a sus propietarios e incluso la perdida de reputación.

2. Propósitos Es salvaguardar la Disponibilidad, la Integridad y la Confiabilidad, de la información a través de las buenas prácticas de la seguridad. 3. Políticas de Seguridad de la Información La dirección de IDROCARBUROS S.A, entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con la implementación de un sistema de gestión de seguridad de la información. 

Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la empresa



Cumplir con los principios de seguridad de la información.



Proteger la información de las amenazas originadas por parte del personal.



Implementar controles de acceso a la información, sistemas y recursos de red.



Cumplir con los principios de seguridad de la información.



Mantener la confianza de los funcionarios, contratistas y terceros.



Proteger los activos de información.



Cambio periódico de contraseñas.



Asignar contraseñas a los equipos para impedir la instalación de programas o la eliminación de la misma.



Autenticación de acceso a internet y filtro de contenido redes sociales, sitios como Facebook, Twitter y YouTube



Fortalecer la seguridad de la empresa con la instalación de cámaras de seguridad o vigilancia.

4. Fases De Implementación De Políticas De Seguridad De La Información

Justificación de la creación de política: los motivos por los cuales se crean estas políticas de seguridad de la información, es para conservar la integridad de la empresa, para que no exista fuga de información, evitar daño de información por virus o intrusiones por parte de persona ajenas a la empresa o hackers. Y para dar cumplimiento a la ley 1581 de 2012. Alcance: estas políticas van dirigidas a todo el personal de la empresa, que labora en las distintas áreas u oficinas. Cumplimiento: el personal que trabaja en las instalaciones de la empresa, debe cumplirá a cabalidad con las políticas de seguridad, en caso de no cumplir con la norma se le hará un llamado de atención o memorando, y en caso de fuga de información por no incumplir las políticas de la empresa, será despedido y enfrentará la justicia de acuerdo a la Ley 1581 de 2012. Comunicación: la forma en que se comunicara las políticas de seguridad a los empleados, será mediante correo electrónico y en los espacios de las pausas activas para que las tengan presentes, la información para terceros, se comunicara al ingreso de la empresa y se les informará donde pueden leer las políticas de seguridad. Monitoreo: se realizar una verificación cada 20 días, para determinar la efectividad y el cumplimiento de la misma. Mantenimiento: se debe realizar cada 6 meses que se ingrese personal nuevo a la trabajar en la empresa. Retiro: se eliminarán las políticas cuando haya cumplido su fase o cuando la política ya no sea necesaria en la empresa y cuando se cambie la persona encargada de la seguridad de la empresa.

5. Políticas Especificas

En esta fase presenta algunas recomendaciones de políticas de seguridad de la información para el Modelo de Seguridad y privacidad de la Información de la empresa. 5,1. Gestión De Activos:

2 1 3 2 2 2 4 2 1 3

Nombre del Equipo PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 PC9 PC10

computador computador computador computador impresoras Escáner computador computador computador computador

2

PC11

impresoras

Cantida d

AMENAZAS Humanas

Lógicas

Activos

característica s de mesa de mesa de mesa de mesa a Color de cama plana de escritorio Portátil Portátil de mesa Blanco y Negro

S.O.

programas

login

Windows 7 Windows 10 Windows 8 Windows 7     Windows 10 Windows 8 Windows 7 Windows 7

Office 2013 Office 2016 Office 2013 Office 2010     Office 2019 Office 2013 Office 2013 Office 2010

contraseña sin contraseña sin contraseña contraseña     sin contraseña sin contraseña contraseña contraseña

 

 

 

VULNERABILIDADES  Hacker o cracker que hurten o agreguen contenido malintencionado a los dispositivos.  Robo de información o equipos físicos. Existen diferentes tipos de programas que pueden atentar contra la el sistema operativo o diferentes documentos específicos, en este caso, afectado la configuración y el soporte técnico que se realiza en la empresa a través de estos dispositivos. Dentro del marco referente a la utilidad prestada, se podrían encontrar programas:  Caballos de Troya.  Exploits.  Malware.  Piratas informáticos  Programas espiar.

Físicos

 Virus. Esta amenaza puede llegar a manifestarse en cualquier momento durante horario laboral e incluso extra laboral, ya que esta amenaza normalmente se puede generar de forma accidental.  Incendio de equipos.  Vencimiento de licencias.  Atentado a la confidencialidad.  Daños físicos.  Hurto Daños generados por inundaciones, terremotos, sobrecarga de energía en las tomas eléctricas.

Clasificación de activo: los activos se clasifican de acuerdo a la información de acuerdo a la sensibilidad de cada uno, tendiendo en cuenta la ley 1582 de 2012. Etiquetado de la información: los activos se etiquetan teniendo en cuenta el serial de cada equipo y el numero de referencia que sea asignado como I0000001

5,2. Control De Acceso: es un sistema automatizado que permite de forma eficaz, aprobar o negar el paso de personas a zonas restringidas en función a ciertos parámetros de seguridad establecidos por la empresa. Son límites y procedimientos frente a la administración y responsabilidad, relacionados con los accesos a la información, sin importar si estos accesos sean electrónicos o físicos.

Control de acceso con usuario y contraseña: se debe generar un usuario y contraseña por la persona encargada de la seguridad de la información, y tendrá vigencia hasta que la persona

permanezca laborando en la empresa o dependencia de trabajo, los usuarios o contraseñas son personales e intransferibles y por ningún motivo deben prestarse o compartirse.

Suministro del control de acceso: Se le debe crear un usuario y contraseña, el usuario se el nombre y apellido y la contraseña el número de documento el cual debe ser cambiada al primer inicio de sesión. Gestión de Contraseñas: la contraseña debe ser cambiada cada 3 meses, se debe utilizar una contraseña de 12 caracteres, que incluya mayúsculas y minúsculas, alfanumérica, símbolos y que no se pueda repetir. Se llevará un historial de 12 contraseñas utilizadas. 5,3. Responsabilidad y auditorias: esta vela por quienes deben hacerse responsables de la información y activos de la empresa. Es responsabilidad de la persona encargada de la seguridad de la empresa para generar el usuario y contraseña, y está encargada de verificar que cumpla con las políticas establecidas para seguridad de la información Almacenamiento de registros: se debe crear copias de seguridad de base datos de información. Normatividad: la auditoria de las políticas deben velar que se cumplan todas las condiciones establecidas para la empresa. Garantía cumplimiento: la auditoria de evaluar que se cumplan los controles y el cumplimiento de las políticas de seguridad, y debe informar sobre posibles deficiencias detectadas. 5,4. Capacitación Y Sensibilización En Seguridad De La Información: en esta parte de la política se debe capacitar a todo el personal de la empresa sobre el funcionamiento de las políticas de seguridad y se enseñará como prevenir posibles amenazas y vulnerabilidades, se dará

una inducción sobre el manejo de los equipos de cómputo de la empresa. Esta política debe cumplir con las siguientes obligaciones: 

El jefe de personal debe verificar que cumplan con las capacitaciones.



Es obligación de los empleados asistir a los eventos de capacitación.



Hacer revisiones periódicas de las capacitaciones.



Documentar sobre los planes de estudio.



Compromiso y obligaciones por parte del personal capacitado.

Conclusiones -

La capacitación es muy importante para los usuarios ya que son quienes se ven enfrentados directamente y son el eslabón más débil de la cadena, se convierten en el principal punto de fallo, por lo cual su capacitación es primordial para ayudarlos a comprender y entender cómo funcionan los intentos de engaño de tal manera que la eficacia de ese tipo de ataques sea baja.

-

Al implementar las diferentes restricciones a los usuarios, protegemos la información de uso inadecuado, lo cual podría causar mayor o menor daño a la reputación del negocio o incluso la continuidad del mismo.

-

Es necesario mantener un estado de alerta permanente. De igual manera es importante actualizar de manera permanente las políticas de seguridad, ya que la seguridad es un ejercicio continuo que exige aprender a partir de la experiencia adquirida durante el proceso.

-

Dicho lo anterior se deben implementar un proceso de aprendizaje continuo de tal manera que el sistema en general permanezca actualizado y sus políticas también.

-

El proceso de seguridad es un proceso continuo y debe ser integrado dentro de cada aspecto de la operación del negocio, ya que, de la articulación de este con el proceso de negocio, se logra mitigar el riesgo en mayor grado.

Referencias Cómo: Configurar la seguridad de carpeta para carpetas compartidas. (2019). Retrieved 30 September 2019, from https://support.microsoft.com/esco/help/324067/how-to-set-folder-security-for-shared-folders Guía para la Gestión y Clasificación de Activos de Información. (2019). Retrieved 30 September 2019, from https://www.mintic.gov.co/gestionti/615/articles5482_G5_Gestion_Clasificacion.pdf Modelo de Seguridad y Privacidad de la Información. (2019). Retrieved 30 September 2019, from https://www.mintic.gov.co/gestionti/615/articles5482_Modelo_de_Seguridad_Privacidad.pdf Password must meet complexity requirements (Windows 10). (2017). Retrieved 30 September 2019, from https://docs.microsoft.com/en-us/windows/security/threatprotection/security-policy-settings/password-must-meet-complexity-requirements Sistema de Gestión de la Seguridad de la Información. (2019). Retrieved 30 September 2019, from http://www.iso27000.es/download/doc_sgsi_all.pdf Toro, R. (2019). Sistemas de Gestión de Seguridad de la Información. Retrieved 30 September 2019, from https://www.pmg-ssi.com/2019/02/sistemas-de-gestion-deseguridad-de-la-informacion/