Determinando riesgo y amenazas a los sistemas informáticos y la información

Diana Paola Rativa Leiva

Johan Alejandro Ramirez Jimenez
Jaime Castrillon Gomez

Fundación universitaria del Area Andina

Fundamentos de seguridad informática
Ingeniería de Sistemas
Abril 2021
 INTRODUCCIÓN

Con el pasar del tiempo y el avance tecnológico en las últimas décadas, hace que la información
y redes se encuentren globalizadas y al alcance desde cualquier lugar con acceso a internet,
haciendo que sea más práctico para las labores cotidianas bien sean de tipo laboral o en el
hogar.

Lo anterior abre una gran brecha al estudio de la seguridad de la información, lo que implica
tanto la parte física de las redes y computadores, como el acceso no permitido para sacar
provecho de la información que guardamos, esto con fines económicos, sociales, políticos, etc.

Conocer el debido procedimiento requiere de una normativa necesaria para realizar

apropiadamente un inventario de activos tecnológicos, con los cuales poder desplegar y
escudriñar vulnerabilidades y riesgos que puedan llegar a afectar la información de una entidad
o compañía. De esta manera se pueden generar controles de seguimiento, para minimizar la
amplia gama de vulnerabilidades que existen y a los que están expuestos bien sea la
información, procesos o sistemas existentes.

En el presente trabajo se encuentra el diseño de una política de seguridad aplicable a una casa,
el cual recopila todos los conceptos vistos referentes a los riesgos y amenazas en seguridad
informática

OBJETIVOS
General
- Elaborar políticas de seguridad informática teniendo en cuenta los lineamientos del
MinTic.

Específicos
- Analizar las posibles amenazas y riesgos que se presentan en una organización.
- Observar el comportamiento de los usuarios en el manejo de información clasificada.
- Desarrollar soluciones para mitigar los riesgos y/o amenazas que se presenten en la
organización.
 INSTRUCCIONES

● Conformar equipos de máximo 3 estudiantes.

Diana Paola Rativa Leiva

Johan Alejandro Ramirez Jimenez
Jaime Castrillon Gomez

● Seleccionen una empresa que conozcan o pueden hacer el ejercicio con el escenario
de sus casas.

Para el desarrollo de la actividad, se llevará a cabo con el ejemplo práctico del uso de redes
domésticas, para uso de estudio y labores de teletrabajo.

● Con base en los conocimientos adquiridos en el curso y con apoyo de las normas y
guías requisitos del taller, elabore una política de seguridad tendiente a minimizar los
riesgos de seguridad informática de la empresa y/o su casa.

● Genere un documento del taller que evidencia el trabajo desarrollado.

 DESARROLLO DE LA ACTIVIDAD

Estudio de los recursos informáticos actuales.

Para poder implementar la política de seguridad que mejor se adapte al cuidado y protección
de la información en nuestros hogares, primero se debe evaluar las posibles amenazas y causas,
mediante un estudio previo de todos los elementos tecnológicos conectados a la red doméstica,
de esta manera ejecutar el plan y procedimientos para aplicar correctamente las políticas de
seguridad diseñadas y definidas.

Dentro del análisis realizado, se evidencia que una red doméstica está expuesta a menos
peligros físicos y lógicos, pero no por esto menos importantes ya que de igual manera se maneja
información confidencial y de gran valor que debemos proteger.

Tomado de: . lectura1_eje4 “Seguridad y privacidad de la información”

De la lectura de complemento del eje 4, se contemplan las etapas de la gestión del riesgo, el
propósito de la identificación del riesgo es determinar qué podría suceder que cause un pérdida
potencial, y llegar a comprender el cómo, donde, y por que podría ocurrir esta pérdida, las
siguientes etapas deberían recolectar datos de entrada para esta actividad.

Análisis:

En el siguiente informe se presenta las afectaciones de las diferentes vulnerabilidades

existentes y posibles.

Continuamente estamos expuestos en todo momento cuando se trata del uso de nuestros
elementos tecnológicos, sean teléfonos celulares, equipos de cómputo donde o como
conectamos estos dispositivos a la red e incluso periféricos tienen acceso a estos. El control y
uso de la información que albergan dichos dispositivos son objetivo de ataques maliciosos que
directa o indirectamente pueden estar pueden perderse.

Se realiza una validación de las vulnerabilidades a las que se exponen los dispositivos de
tecnología, visto desde diferentes tipos de activos como se muestra en la tabla:
Valoraciones de las vulnerabilidades encontradas / Propuesta de solución, alternativa
frente a los riesgos y vulnerabilidades

Riesgo de humedad, polvo o suciedad:

Pérdida de energía:

Almacenamiento sin protección:

Ausencia de terminación de sesión cuando no se usa el dispositivo:

Sin auditoría o seguimiento:

Ausencias de mecanismos de identificación o autenticación:

Software sin licencia:

Ausencia de copias de respaldo:

Falta de conciencia de la seguridad:

Procedimientos inadecuados:
Arquitectura insegura de la red:

Políticas de seguridad informática

Definiciones.

Acceso físico: La posibilidad de acceder físicamente a un computador o dispositivos,

manipularlo tanto interna como externamente.
Acceso lógico: Ingresar al sistema operativo o aplicaciones de los equipos y operarlos, ya sea
directamente, a través de la red de datos interna o de Internet.
Activos de Información: Toda aquella información que la Entidad considera importante o
fundamental para sus procesos, puede ser ficheros y bases de datos, contratos y acuerdos,
documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema, etc.
Aplicaciones o aplicativos: Son herramientas informáticas que permiten a los usuarios
comunicarse, realizar trámites, entretenerse, orientarse, aprender, trabajar, informarse y realizar
una serie de tareas de manera práctica y desde distintos tipos de terminales como computadores
tabletas o celulares.
Cableado estructurado: Cableado de un edificio o una serie de edificios que permite
interconectar equipos activos, de diferentes o igual tecnología permitiendo la integración de
los diferentes servicios que dependen del tendido de cables como datos, telefonía, control, etc.
Cifrado de datos: Proceso por el que una información legible se transforma mediante un
algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto. Esta
información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída
por terceras partes.
Configuración Lógica: Conjunto de datos que determina el valor de algunas variables de un
programa o de un sistema operativo, elegir entre distintas opciones con el fin de obtener un
programa o sistema informático personalizado o para poder ejecutar dicho programa
correctamente.
Copia de respaldo o backup: Operación que consiste en duplicar y asegurar datos e
información contenida en un sistema informático. Es una copia de seguridad.
Contenido: Todos los tipos de información o datos que se divulguen a través de los diferentes
servicios informáticos, entre los que se encuentran: textos, imágenes, video, diseños, software,
animaciones, etc.
Contraseñas: Clave criptográfica utilizada para la autenticación de usuario y que se utiliza
para acceder a los recursos informáticos.
Correo electrónico institucional: Servicio que permite el intercambio de mensajes a través
de sistemas de comunicación electrónicos, que se encuentra alojado en un hosting de propiedad
de la Entidad.
Cuenta de acceso: Colección de información que permite a un usuario identificarse en un
sistema informático o servicio, mediante un usuario y una contraseña, para que pueda obtener
seguridad, acceso al sistema, administración de recursos, etc.
Dispositivos/Periféricos: Aparatos auxiliares e independientes conectados al computador o la
red.
Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno de los
equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los
usuarios tiene en la red.
Espacio en disco duro: Capacidad de almacenamiento de datos en la unidad de disco duro.
Herramientas ofimáticas: Conjunto de aplicaciones informáticas que se utilizan en funciones
de oficina para optimizar, automatizar y mejorar los procedimientos o tareas relacionadas.
Información confidencial: Se trata de una propiedad de la información que pretende
garantizar el acceso sólo a personas autorizadas.
Información/Documento electrónico: Es la información generada, enviada, recibida,
almacenada o comunicada por medios electrónicos, ópticos o similares. Se pueden clasificar
por su forma y formato en documentos ofimáticos, cartográficos, correos electrónicos,
imágenes, vídeos, audio, mensajes de datos de redes sociales, formularios electrónicos, bases
de datos, entre otros.
Licencia de uso: Contrato entre el licenciante (autor/titular de los derechos de
explotación/distribuidor) y el licenciatario (usuario consumidor/usuario profesional o empresa)
del programa informático, para utilizar el software cumpliendo una serie de términos y
condiciones establecidas dentro de sus cláusulas, es decir, es un conjunto de permisos que un
desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o
modificar el producto bajo una licencia determinada.
Mantenimiento lógico preventivo: Es el trabajo realizado en el disco duro del equipo de
cómputo, con la finalidad de mejorar el rendimiento general del sistema operativo.
Mantenimiento físico preventivo: Actividad de limpieza de elementos como polvo, residuos
de alimentos y otro tipo de partículas que debe realizarse sobre el equipo de cómputo, con el
propósito de posibilitar que su correcto funcionamiento sea más prolongado en el tiempo.
Medios de almacenamiento extraíble: Son aquellos soportes de almacenamiento diseñados
para ser extraídos del computador sin tener que apagarlo. Por ejemplo, memorias USB, discos
duros externos, discos ópticos (CD, DVD), tarjetas de memoria (SD, CompactFlash, Memory
Stick).
Red de datos: Es un conjunto de ordenadores que están conectados entre sí, y comparten
recursos, información, y servicios.
Software antivirus: Son programas que buscan prevenir, detectar y eliminar virus
informáticos. En los últimos años, y debido a la expansión de Internet, los nuevos navegadores
y el uso de ingeniería social, los antivirus han evolucionado para detectar varios tipos de
software fraudulento, también conocidos como malware.

Generalidades.
a. Seguir los estándares de protección eléctrica vigentes para minimizar el riesgo de daños
físicos de los equipos de telecomunicaciones y servidores.
b. Contar por lo menos con un extintor de incendio adecuado en la vivienda.
c. Los equipos que hacen parte de la vivienda, tales como estaciones de trabajo, centro de
cableado, UPS, dispositivos de almacenamiento, entre otros, deben estar protegidos y
ubicados en sitios libres de amenazas como robo, incendio, inundaciones, humedad,
agentes biológicos, explosiones, vandalismo y terrorismo.

Usuaarios Internos
a. Todo usuario de la vivienda deberá cumplir y respetar las condiciones que se estipulan
en el presente documento.
 b. Toda la información recibida y producida dentro de la vivienda pertenece a cada quien
y no deberá ser divulgada por un usuario ajeno.
c. Ningún usuario podrá visualizar, copiar, alterar o destruir información que no se
encuentre bajo su custodia.

Hardware y Software

a. El espacio en disco duro de los equipos de cómputo pertenecientes a la vivienda será

ocupado únicamente con información personal, no se hará uso de ellos para almacenar
información de tipo empresarial (documentos, contratos, imágenes, software).
b. Ningún usuario podrá acceder a equipos de cómputo diferentes al suyo sin el
consentimiento explícito de la persona responsable.
c. Los usuarios serán responsables de contar con conocimientos actualizados en
informática básica.
d. No se permite el uso de plataformas y servicios informáticos de empresas en los
diferentes equipos informáticos.

Aplicación de la Política

PROPÓSITOS
● Informar sobre las obligaciones para protección de recursos de T.I.
● servir de línea base de actuación

Casa- Hogar
Lugar

Inventario de recursos Informáticos · Pc

· Impresora

· Celular
 · Riesgo de humedad, polvo o
Análisis de amenazas y riesgos
suciedad

· Pérdida de energía

· Almacenamiento sin protección

· Sin auditoría o seguimiento

· Ausencias de mecanismos de
identificación o autenticación

· Software sin licencia

· Ausencia de copias de respaldo

· Falta de conciencia de la
seguridad

· Procedimientos inadecuados

· Arquitectura insegura de la red

Pautas de adquisición de T.I. con

Componentes
requerimientos específicos y
características de seguridad

· Política de privacidad

· Política de acceso (privilegios y

derechos)

· Responsabilidades

· Política de autenticación

· Declaración de disponibilidad
Política de mantenimiento a sistemas de
T.I.

· Reporte de violaciones
Información de soporte
 · Sencilla y clara.
Características de la Política de seguridad
· Aprobada por la alta dirección.

· Fácil de mantener.

· Implementar a través de
procedimientos administrativos.

· Lograr la libre actuación de los

usuarios.

· Hacerla pública.

· Enfocada a problemas grandes

y reales.

· Apoyarlas con herramientas de

seguridad.

· Acciones rápidas.

· Definir claramente las

responsabilidades.

· Sanciones sólo donde la

prevención no sea técnicamente
factible.

· Constante actualización.

DISPOSITIVO = IMPRESORA

Plan de implementación

● El consumo de papel debe estar regulado a diario y debe generarse inventario y control
diario de la rutina por cada recarga.

● El mantenimiento de los equipos debe realizarse cada 6 meses, luego del primer año de
haberse entregado los equipos nuevos. Dicho mantenimiento debe realizarse por fuera del
horario normal de oficina, para evitar que se interrumpan las funciones de los usuarios.
 Plan de auditoría

● Elaborar un reporte mensual los cuales comprenden estadísticas claras y específicas

sobre el uso de los equipos en la casa, cuánto papel se consume en el mes, cuantos cartuchos de
tóner se utilizan.

DISPOSITIVO = PC

Asignación de recursos:
● Contratación de equipo especializado que se encargue del mantenimiento periódico de los
equipos, ya sea mantenimiento preventivo, predictivo o correctivo.
● Compra y almacenaje de repuestos, esto para estar prevenidos de una posible falla física o
sistemática.
● Uso de software y licencias originales, evitando problemas de autenticación o multas
monetarias por parte del departamento de seguridad.

Plan de implementación:
● Uso de parámetros de seguridad para el acceso de los usuarios.
● Tener claves o tarjetas de acceso individuales.
● Restringir el uso de la navegación en internet, mitigando las posibilidades de contener un
ataque o descargar un virus por un descuido.
● Implementación de antivirus con licencia para un mejor aprovechamiento de las características
que el mismo posee.
● Limitación por Firewall, bloqueo de acciones y/o programas que no hagan parte del repertorio
de aplicaciones usadas para el funcionamiento adecuado de las herramientas laborales.
● Asegurar las redes por medio del Firewall.
● Uso de DeepFreezer u otras aplicaciones que se encarguen del congelamiento de sectores de
disco, para evitar la ejecución repentina de un archivo malicioso.
● Creación de puntos de restauración periódicamente.
● Respaldo de información en discos físicos protegidos sutil y rigurosamente.
● Vigilancia de acceso remoto a los equipos por parte del director o líder del departamento de
seguridad.
● Limitaciones en el uso de aplicaciones que estén fuera de las predeterminadas por la entidad.
● Protección de las redes Wifi, ya sean privadas o públicas.
● Tener los equipos actualizados.
● No conectar cualquier sistema de almacenamiento externo, ser precavido.
● Restringir la descarga de archivos de orígenes desconocidos o sospechosos.
● Proteger los equipos de phishing y otros tipos de ataques.
● Protección de las IP presentes en el equipo.

REFERENCIAS
Vega Velasco, W. (2008). POLÍTICAS Y SEGURIDAD DE LA INFORMACIÓN. Fides et
Ratio - Revista de Difusión Cultural y Científica de La Universidad La Salle En Bolivia, 2(2),
63–69.

Carisio, E. (2021). Políticas de seguridad informática y su aplicación en la empresa. MediaCloud.

Recuperado 11 April 2021, de https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-
aplicacion-en-la-empresa/.

Education International. (n.d.). Educación de la primera infancia : Internacional de la

educación. Retrieved April 11, 2021, from Ei-ie.org website: https://www.ei-
ie.org/spa/detail_page/4642/educaci%C3%B3n-de-la-primera-infancia

MINTIC. (s.f.). Guia N7 - Guia de gestión de riesgos. Obtenido de

https://areandina.instructure.com/courses/8145

Vulnerabilidades comunis y mas importantes. (s.f.). Obtenido de

https://www.onasystems.net/vulnerabilidades-importantes-afectan-la-seguridad-bases-datos-
las-empresas/