Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 22 vistas

    Actividad Evaluativa Eje 2 - Seguridad en Aplicaciones

    Cargado por

    Juan David Bautista
    Este documento presenta una actividad evaluativa sobre políticas de seguridad informática. Propone definir políticas para seguridad física, de red, humana, en sistemas operativos, aplicaciones y bases de datos siguiendo la norma ISO/IEC 17799. Incluye ejemplos detallados de lineamientos para cada política con el objetivo de aplicar conocimientos sobre este tema.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Actividad Evaluativa Eje 2 - Seguridad en Aplicaciones

    Cargado por

    Juan David Bautista
    22 vistas8 páginas
    Este documento presenta una actividad evaluativa sobre políticas de seguridad informática. Propone definir políticas para seguridad física, de red, humana, en sistemas operativos, aplicaciones y bases de datos siguiendo la norma ISO/IEC 17799. Incluye ejemplos detallados de lineamientos para cada política con el objetivo de aplicar conocimientos sobre este tema.

    Título original

    Actividad Evaluativa Eje 2 -Seguridad en Aplicaciones

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta una actividad evaluativa sobre políticas de seguridad informática. Propone definir políticas para seguridad física, de red, humana, en sistemas operativos, aplicaciones y bases de datos siguiendo la norma ISO/IEC 17799. Incluye ejemplos detallados de lineamientos para cada política con el objetivo de aplicar conocimientos sobre este tema.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    22 vistas8 páginas

    Actividad Evaluativa Eje 2 - Seguridad en Aplicaciones

    Cargado por

    Juan David Bautista
    Este documento presenta una actividad evaluativa sobre políticas de seguridad informática. Propone definir políticas para seguridad física, de red, humana, en sistemas operativos, aplicaciones y bases de datos siguiendo la norma ISO/IEC 17799. Incluye ejemplos detallados de lineamientos para cada política con el objetivo de aplicar conocimientos sobre este tema.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 8

    María Alejandra Ortega Agudelo

    Juan Carlos Rendón Aguirre


    Juan David Bautista

    Fundación Universitaria del Área Andina


    Ingeniería de Sistemas

    Seguridad en Aplicaciones

    Nombre del taller


    Políticas de Seguridad Informática

    José Gerardo Cuta

    27 de Febrero de 2024
    ACTIVIDAD EVALUATIVA EJE 2 - POLÍTICAS DE SEGURIDAD INFORMÁTICA

    Objetivo

    Aplicar conocimientos adquiridos en relación a la creación y la interpretación de políticas de


    Seguridad informática.

    Descripción del taller

    Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:

    •Seguridad física.
    •Seguridad de red.
    •Seguridad humana.
    •Seguridad en sistemas operativos.
    •Seguridad en aplicaciones.
    •Seguridad en SGBD.
    •Leer la unidad requerimientos de seguridad y seguridad en sistemas.
    •Apoyarse en la norma ISO/IEC 17799.
    •Aplicar los conceptos adecuados.

    Proponer una política de seguridad informática, para cada uno de los siguientes aspectos:
    Desarrollo de la Actividad

    ● Seguridad física.

    • Protección de Equipos y Recursos Físicos: Equipos y recursos físicos, como servidores,


    Switches, firewall, etc. ubicados en áreas seguras y protegida, Instalación de elementos de
    barrera como torniquetes, cámaras de seguridad etc.
    • Cumplir con los controles de acceso de la institución: tarjetas de identificación o lectores
    de huellas digitales, en puntos de entrada y áreas restringidas.
    • Control de Entradas y Salidas de Dispositivos: Control de dispositivos para regular la
    conexión de dispositivos extraíbles, como unidades USB y discos externos, a los sistemas
    de la organización, utilizarán herramientas de monitoreo y controlar las conexiones de
    dispositivos, identificando y bloqueando cualquier actividad sospechosa.
    • Definir comportamientos no permitidos dependiendo en qué sitio de las instalaciones se
    encuentre (comer, bebidas, fumar etc.)
    • Hacer buen uso de las instalaciones
    • Garantizar el mantenimiento de las instalaciones con el objetivo de evitar daños
    estructurales que pongan en riesgo la integridad de las personas y dispositivos.
    • Realizar auditorías periódicas de seguridad física para evaluar la efectividad las políticas
    implementadas y detectar posibles vulnerabilidades, revisiones regulares de los registros de
    acceso y eventos de seguridad para identificar actividades dentro de las instalaciones.

    ● Seguridad de red.

    • Exigir el uso de SSL en los controles de acceso remoto, cifrado de extremo a extremo para
    proteger la confidencialidad de los datos transmitidos a través de la red, especialmente en
    conexiones remotas o públicas.
    • Se debe contar con firewall encargados de filtrar y regular el tráfico.
    • Segmentar las redes. (Control A 13 – Seguridad de las comunicaciones), Restricción de
    wifi y ethernet por Mac, en dispositivos invitados.
    • Implementar políticas de acceso a redes, (Control A 9.1.2 - Acceso a redes y a servicios
    de Red), bloque a paginas no necesarias para realizar labores dentro de la empresa
    (YouTube, redes sociales, etc.)
    • Contar con alta disponibilidad en las redes con el objetivo de
    • Control de dispositivos móviles
    • Análisis de vulnerabilidad.
    ● Seguridad humana.

    • Realizar capacitaciones al personal para que tengan conocimientos a cerca de seguridad


    de la información, pues como todos sabemos, el ser humano es el riesgo más grande en
    seguridad de la información, (Control A7 - Seguridad de los recursos humanos).
    • Implementar autenticación multifactor (MFA) en los sistemas y aplicaciones.
    • Portar el carné de la empresa en todo momento que acredite a la persona como
    colaborador de la empresa, en caso de ser visitante portal la debida identificación.
    • Controles de acceso basadas en roles de usuario para garantizar que cada empleado
    tenga acceso únicamente a los recursos necesarios para realizar sus funciones laborales.
    • Contar con personal competente
    • Realizar estudios de seguridad pertinentes a los prospectos de colaboradores.

    ● Seguridad en sistemas operativos.

    • Implementar procedimientos y políticas de uso adecuado de activos (Control A 8.1.3 – Uso


    aceptable de activos).
    • Mantener los equipos con el sistema operativo actualizado. Todos los sistemas operativos
    utilizados en la organización deberán estar actualizados con los últimos parches de
    seguridad proporcionados por los fabricantes, auditorías mensuales validando que las
    actualizaciones se hayan implementado de manera correcta.
    • Controlar mediante una cláusula que no se permitirá la realización de cambios en ningún
    sistema o equipo de la compañía, en cuanto a cambios de software, código etc. salvo los
    que estén expresamente autorizados y programados
    • Implementar usuario y clave de administrador en los equipos las cuales solo sean
    administradas por el área de TI, para evitar manipulación del sistema operativo y la
    instalación de programas no autorizados.
    • Desactivar los servicios y características innecesarias para reducir la superficie de ataque
    y mejorar la seguridad general del sistema.
    • Mantener todos los sistemas operativos licenciados y no crackeados.
    • Instalación de antivirus empresarial en todos los equipos de la organización (servidores,
    equipos de cómputo, etc.)
    • Implementación de contraseñas seguras y complejas para acceder a los sistemas
    operativos, establecer límite de intentos de inicio de sesión para proteger contra ataques de
    fuerza bruta, se bloquearán las cuentas tras un número determinado de intentos fallidos.
    • Realizar copias de seguridad (Backups) periódicamente a todos los equipos de la empresa
    (pc Servidores, Firewall, Switch, Router, etc.), en unidades externas para mantener fuera de
    la red.

    ● Seguridad en aplicaciones.

    Se debe proteger las aplicaciones siguiendo los lineamientos descritos a continuación:


    • Autenticación: Todas las aplicaciones deben solicitar al usuario que proporcione un
    nombre de usuario y una contraseña para iniciar sesión, así mismo de ser posible se debe
    activar la autenticación multifactorial.
    • Cifrado: Cifrar los datos confidenciales, tanto de usuarios como de la información que se
    aloja en ellos.
    • Implementar codificaciones seguras, siguiendo pautas reconocidas como (OWASP y
    CWE) realizarán pruebas de seguridad durante el desarrollo del software, (pruebas de
    penetración, pruebas de seguridad automatizadas y revisiones de código.)
    • Implementar autenticación de usuarios antes de acceder a funcionalidades de datos
    sensibles. Implementar controles de autorización basados en roles para limitar el acceso de
    los usuarios solo a las funciones y datos que sean necesarios para realizar sus tareas.
    • Gestión de parches para garantizar que las aplicaciones sean actualizadas regularmente
    con los últimos parches de seguridad, Realizar evaluaciones de vulnerabilidades de manera
    proactiva para identificar y remediar posibles puntos débiles en las aplicaciones
    • Copias protegidas del código desarrollado. (Unidades externas).
    ● Seguridad en SGBD.

    • Encriptación: Los datos deben ser encriptados para evitar que en caso de fuga la
    información sea descifrada fácilmente.
    • Gestión de claves: Manejar un gestor de claves que permita almacenar de forma segura
    las contraseñas de bases de datos y aplicaciones.
    • Alta disponibilidad: Tener redundancia en los servicios, asegurando la continuidad del
    negocio en caso de un ataque.
    • Implementación de auditorías para registrar eventos como intentos de inicio de sesión,
    cambios de privilegios y posibles modificaciones de datos. Tener registros de auditoría para
    detectar actividades sospechosas y asegurar el cumplimiento de las políticas de seguridad.
    • copias de seguridad de las bases de datos y los registros de transacciones, y se
    almacenarán en ubicaciones seguras y fuera de la red, tener un plan de recuperación ante
    desastres que incluya procedimientos para restaurar rápidamente la base de datos en caso
    de robo o pérdida de datos.
    • Realizar restauración de base de datos periódicamente para validar que la data en uso y
    de backup no se encuentre corrupta. También realizarán pruebas de penetración de
    vulnerabilidades en la base de datos para identificar posibles puertas traseras y evaluar la
    eficacia de las medidas de seguridad implementadas.
    CONCLUSIONES

    - Este taller nos dio a entender que la implementación de las políticas de seguridad
    informática es fundamental y necesaria para proteger los activos digitales de una
    organización y garantizar la confidencialidad, integridad y disponibilidad de la
    información.
    - A lo largo de las diferentes áreas abordadas, incluyendo seguridad humana,
    seguridad física, seguridad en redes, seguridad en sistemas operativos, seguridad
    en aplicaciones y seguridad en bases de datos, son la mayoría muy similares ya que
    en todas las políticas debemos tener siempre un respaldo de la información
    (Backup) en Cada una de estas políticas.
    - Estar constantemente auditando internamente todos los servicios, usuario y demás
    herramientas que nos pongan en riesgo la data y la red de datos de la organización.
    - Nunca es suficiente cuando tratamos los temas de la seguridad de nuestra
    información, hay que tener efectividad y cuidado a la hora de implementar los
    controles de seguridad necesarios.
    Referencias Bibliográficas.

    ISO27001 Seguridad Información. (s. f.). DNV.

    https://www.dnv.com/ar/services/iso-27001-sistema-de-gestion-de-seguridad-

    de-la-informacion-3327#:~:text=%E2%80%8BQu%C3%A9%20es%20la%20n

    orma%20ISO%2027001&text=Ayuda%20a%20las%20organizaciones%20a,l

    a%20seguridad%20de%20la%20informaci%C3%B3n.

    Normas ISO. (s. f.). ISO 27001 - Seguridad de la información: norma ISO IEC

    27001/27002. https://www.normas-iso.com/iso-27001/

    ISOTools. (2024, 17 enero). ISO 27001 - Sistemas de Gestión de Seguridad de la

    información. Software ISO.

    https://www.isotools.us/normas/riesgos-y-seguridad/iso-27001/

    ¿Qué son los controles de seguridad? | IBM. (s. f.).

    https://www.ibm.com/mx-es/topics/security-controls

    También podría gustarte