Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
PRODUCTO INTEGRADOR DE APRENDIZAJE Nombre de la Unidad de Aprendizaje: Tecnologías de la Información VII Nombre del proyecto: Programa educativo: Semestre: 7mo Grupo: 78 Nombre del maestro: Delia Imelda Rivera Loredo Nombre de los integrantes del equipo: Garza López Adalberto Josué 1669312 Garza Narváez Miguel Ángel 1638934 Mendoza de León José Daniel 1887085 Sepúlveda Saldívar Jesús Adrián 1744526 San Nicolás de los Garza, ciudad universitaria a 26 de julio de 2020 Plan de Seguridad Informática Contenido Resumen ..................................................................................................................... 4 Introducción General. ................................................................................................. 5 Introducciones individuales. ....................................................................................... 7 Valores UANL aplicados en el proyecto. ................................................................. 13 Antecedentes. ........................................................................................................... 14 Caso (problemática). ................................................................................................ 16 Determinar las necesidades de protección del sistema informático con objeto de análisis. ..................................................................................................................... 18 Caracterización del sistema informático............................................................... 18 Identificación de las amenazas y estimación de los riesgos ............................... 19 Elaborar un plan de seguridad informática en forma integral para una organización que considere lo siguiente. (ANECA 2.2.) ............................................................... 25 Alcance .................................................................................................................. 25 Propósito ............................................................................................................... 25 Definir las políticas de seguridad para cada riesgo ............................................. 26 Establecer el nivel de riesgo ................................................................................. 37 Definir las medidas y procedimientos a implementar .......................................... 37 Evaluar el sistema de seguridad diseñado que contemple situación actual y situación propuesta. ................................................................................................. 39 Identificar los requerimientos funcionales de acuerdo con los criterios establecidos de seguridad esperada. ............................................................................................ 40 Enunciar y justificar las selecciones de algoritmos criptográficos aplicados en la solución propuesta. .................................................................................................. 40 Establecer prácticas y técnicas vigentes de seguridad informática y ciberseguridad aplicables al caso. .................................................................................................... 41 Conclusión General. ................................................................................................. 44 Conclusiones individuales. ....................................................................................... 46 Integrantes del equipo. ............................................................................................. 53 Bibliografías .............................................................................................................. 55 Resumen Español La empresa que se propuso para realizar el plan integral de seguridad tenía deficiencias en su manejo de las recomendaciones de seguridad y algunas no estaban implementadas para llevarse a cabo es por eso que la necesidad de poder definir el plan integral era critica, se llevaron a cabo análisis de riesgos y la revisión del estado actual de la organización para poder ir adaptando este plan a cada una de las áreas de la organización para asegurar que se cubriera totalmente el departamento de TI, así mismo veremos una comparación del estado con el que se tomó a la empresas y el resultado una vez que se pusieron en marcha las políticas y procedimientos dentro del plan integral de seguridad, esto dando una clara ventaja ante otras organizaciones y lo cual genera conciencia en cada uno de los colaboradores que conforman la empresa para evitar que un incidente de seguridad pueda poner en jaque la operación de la compañía o pueda causar graves daños a la integridad de la misma. Abstrac Ingles The company that was proposed to carry out the integral security plan had deficiencies in its handling of security recommendations and some were not implemented to be carried out. That is why the need to be able to define the integral plan was critical, risk analyses were carried out and the current state of the organization was reviewed in order to adapt this plan to each of the areas of the organization to ensure that the IT department was fully covered, We will also see a comparison of the state with which the company was taken and the result once the policies and procedures within the comprehensive security plan were put in place, this giving a clear advantage over other organizations and which generates awareness in each of the employees who make up the company to prevent a security incident that could jeopardize the operation of the company or could cause serious damage to its integrity. Introducción General. Español Para poder desarrollar este PIA acudimos a una empresa con más de 300 empleados la cual se dedica a la elaboración de cables de diferentes tipos y calibres, por lo que consideramos que no había mucho que rediseñar para esta empresa, sin embargo, añadimos algunas pequeñas mejoras que, si no es de gran impacto, traerán mejoras en cuanto a la eficiencia en procesos. Optamos por tomar 5 áreas que la empresa tiene en su operación y que, sin estas, toda la información quedaría expuesta. La primera área es la de soporte a usuarios, también redes o bien, telecomunicaciones, tocamos algunos temas de bases de datos, así como la de acceso a aplicaciones y el control de acceso a edificios. Se crearon políticas con procedimientos para mejorar y resolver las incidencias. Siguiendo con el orden anterior, el área de soporte se encarga del control manual en dado caso que las actualizaciones y parches no se puedan ejecutar, también en caso de que los usuarios tengan inconvenientes con el manejo de sus equipos de cómputo. Posteriormente en las redes implementamos posibles soluciones en cuestiones de virus en la red, para que no se propaguen estos inconvenientes. En el área de acceso a aplicaciones y control de acceso a edificios en pocas palabras, gestionaremos los permisos a usuarios, para que ninguno este mal asignado y pueda cometer actos ilícitos, el documento desarrolla una serie de buenas prácticas para evitar que esto siga sucediendo y por último, pero no menos importante, las bases de datos en lo que se tocan temas de respaldos de información y el buen manejo de estos datos. Además de analizar esta serie de mejoras, nos dimos a la libertad de crear formatos que ayuden a la visualización de los datos, una matriz de riesgo elaborada a partir de la ocurrencia de estos sucesos, el costo que se generaría a la empresa y las diferentes tipas de acciones para aplicar dependiendo la naturaleza de la incidencia, si es de tipo preventiva, de emergencia y correctiva. Se nos proporcionó la información de los activos con los que cuenta la empresa y de aquí deducimos cuales son las amenazas que conllevan manipular estos aparatos.Pero con los debidos tratamientos, estas vulnerabilidades disminuyen. Con este proyecto se busca tener un mejor control acerca de lo que se requiere para proteger los activos de la empresa, el conocer sus puntos fuertes y débiles, y la elaboración de una serie de prácticas para disminuir este tipo de incidencias. Ingles In order to develop this PIA we went to a company with more than 300 employees which is dedicated to the production of cables of different types and sizes, so we consider that there was not much to redesign for this company, however we added some small improvements that if it is not of great impact, they will bring improvements in terms of process efficiency. We chose to take 5 areas that the company has in its operation and that without these, all the information would be exposed. The first area is that of user support, also networks or telecommunications, we touch on some database issues, as well as application access and access control to buildings. Policies were created with procedures to improve and resolve incidents. Following the previous order, the support area is in charge of manual control in the event that updates, and patches cannot be executed, also in case users have problems with the management of their computer equipment. Later in the networks we implement possible solutions to virus issues on the network, so that these problems do not spread. In the area of access to applications and access control to buildings in a few words, we will manage the permissions to users, so that no one is badly assigned and can commit illegal acts, the document develops a series of good practices to prevent this from happening and Last but not least, the databases on issues of information backup and the good management of this data. In addition to analyzing this series of improvements, we gave ourselves the freedom to create formats that help to visualize the data, a risk matrix drawn up from the occurrence of these events, the cost that would be generated for the company and the different types of actions to apply depending on the nature of the incident, whether it is preventive, emergency and corrective. We were provided with the information of the assets that the company has and from here we deduce what are the threats that come with manipulating these devices. But with proper treatments, these vulnerabilities decrease. This project seeks better control over what is required to protect the company's assets, to know its strengths and weaknesses, and to develop a series of practices to reduce this type of incident. Introducciones individuales. Garza López Adalberto Josué Español En este producto integrador podremos ver el proceso necesario para poder implementar un plan integral de seguridad en una empresa, contemplaremos la situación actual de la empresa para poder definir las acciones a realizar con un enfoque en la seguridad de la organización, así mismo, veremos punto por punto cuales son los principales riesgos y amenazas con las que cuenta la empresa y las soluciones a cada una de ellas, y finalmente, presentaremos un cuadro donde se podrá observar la situación con un antes y después de aplicar el plan de seguridad para poder observar cómo estos puntos mejoran de manera drástica todas las áreas de la organización para cumplir con las normas existentes. Ingles In this integrative product we will be able to see the necessary process to be able to implement an integral plan of security in a company, we will contemplate the current situation of the company to be able to define the actions to carry out with a focus in the security of the organization, likewise, we will see point by point which are the main risks and threats with which the company counts and the solutions to each one of them, and finally, we will present a chart where it will be possible to observe the situation with a before and after applying the plan of security to be able to observe as these points improve of drastic way all the areas of the organization to fulfill the existing norms. Garza Narváez Miguel Ángel Español Analizaremos las posibles vulnerabilidades que pueden existir dentro de la empresa donde trabajo, enfocándonos en 5 áreas en específico las cuales son el área de soporte, el área de base de datos, el área de acceso a edificios y acceso a aplicaciones, así como al área de redes o bien, telecomunicaciones. Una vez realizado este análisis cauteloso, procederemos a crear una matriz la cual nos ayudara de forma visual a ver costos, ocurrencias y acciones para prevenirlo. También dentro del documento podremos encontrar información de lo que contamos para tener un mejor control. Se verán un poco las áreas y puestos asignados a cada persona. Se crearán políticas para ayudar a corregir los puntos vulnerables que la empresa tiene esto, para una mejor gestión del gobierno de TI. Al finalizar este análisis preparamos nuestros puntos de vista para que las propuestas que expusimos de mejora en este documento se puedan entender mejor ya que la idea es abarcar todas las áreas para impedir filtraciones de delincuentes. Ingles We will analyze the possible vulnerabilities that may exist within the company I work, focusing on 5 specific areas which are the support area, the database area, the area of access where to buildings and access to applications, as well as the area networks or telecommunications. Once this cautious analysis has been carried out, we will proceed to create a matrix which will visually help us see costs, occurrences and actions to prevent it. Also, within the document we can find information on what we have to have better control. The areas and positions assigned to each person will be seen a little. Policies will be created to help correct the vulnerabilities the company has in this, for better management of IT governance. At the end of this analysis, we prepare our points of view so that the proposals that we presented for improvement in this document can be better understood since the idea is to cover all areas to prevent leaks of criminals. Mendoza de León José Daniel Español En este trabajo se realizó la implementación de un plan de seguridad en informática que se realizó a la empresa VIAKABLE es una empresa la cual integra a todas las empresas dedicadas a la fabricación y comercialización de conductores eléctricos dentro del propio grupo. Empresa con más de 300 personas trabajando entre las cuales se encuentran operadores, empleados y directores. Donde nos permitieron conocer la empresa y los procedimientos de seguridad que ellos tiene para poder así realizar un plan de seguridad donde previo de identificaran las amenazas que podría llegar a tener la empresa, y las acciones a realizar preventivas que estas podrán controlar el riesgo para que no llegue a un alcance mayor, después de esto de aplicaron las políticas y procedimientos que se deben de llevar. Las áreas de trabajo a identificar fueron, el área de Base de Datos, Redes, Acceso a edificios, Acceso a aplicaciones y soporte. Identificamos los riesgos que pueda a ver en cada una de ellas aplicando una matriz de riesgo , que esta nos ayuda a identificar el riesgo que pueden a ver en esa área , el costo que puede generar si llega afectar o se pueda invertir para poder controlar ese riesgo , el porcentaje de probabilidad que pueda tener , las acciones preventivas lo que hay que hacer para poder disminuir ese riesgo , las acciones de emergencias que estas son las acciones se deben de tomar rápidamente para que el riesgo no pueda penetrar completamente y pueda surgir perdías en la empresa y las acciones correctivas la cuales debemos implementar para tener más seguro nuestra área. Otra de las cosas son las políticas que se implementaron para cada área, estas son lasacciones que vamos a tomar por si llega a suceder los riesgos identificados, después de todo esto se aplicó un cuadro comparativo que nos hacer ver el antes y el después de implementar estas acciones a la empresa y así poder dar como evidencia el cambio echo con esto. Ingles In this work, the implementation of a computer security plan that was made to the company VIAKABLE is a company that integrates all the companies dedicated to the manufacture and marketing of electrical conductors within the group itself. Company with more than 300 people working, including operators, employees and directors. Where they allowed us to know the company and the security procedures that they have in order to carry out a security plan where they previously identified the threats that the company could have, and the preventive actions that they can control the risk so that It does not reach a greater scope, after this the policies and procedures that must be carried out were applied. The work areas to be identified were the Database, Networks, Access to buildings, Access to applications and support area. We identify the risks that you may see in each of them by applying a risk matrix, which helps us identify the risk that you may see in that area, the cost that it can generate if it affects or can be invested in order to control that risk. risk, the percentage of probability that it may have, preventive actions, what must be done to reduce that risk, emergency actions, these are the actions that must be taken quickly so that the risk cannot penetrate completely, and losses could arise. in the company and the corrective actions which we must implement to make our area safer. Another thing is the policies that were implemented for each area, these are the actions that we will take in case the identified risks happen, after all this a comparative table was applied to show us the before and after implementing these actions to the company and thus be able to give evidence of the change made with this. Sepúlveda Saldívar Jesús Adrián Español En la actualidad el tema de la seguridad informática en las organizaciones es uno de los principales objetivos con mayor importancia, como se estuvo comentando durante el curso, hay que lograr concientizar a los directivos y altos mandos de las organizaciones a invertir en la seguridad informática, ya que se toma como una inversión con costo beneficio, en lo que se tendría más resguardada la parte más importante de la empresa, como lo es su información. Un plan de seguridad informática abarca una gran serie de medidas preventivas contra los ataques cibernéticos en distintas áreas de la organización, por ejemplo, antivirus, firewalls, así como más medidas que ya son dependiente de los usuarios, como la activación y desactivación de ciertos permisos y privilegios para poder realizar sus tareas laborales diariamente; como también creación de políticas, que nos ayudan definiendo cual es el objetivo de la creación de la misma, así como cual es el procedimiento que se debe de seguir en caso de detectar alguna vulnerabilidad o un ataque en la seguridad informática, como también quienes están involucrados y que acción debe de realizar cada quien. Esta en la información que se puede visualizar en este documento, desde detectar cuales son las vulnerabilidades mas peligrosas en cada una de las áreas, hasta la creación de las políticas comparando los resultados de un antes y después de un plan de seguridad informática. Ingles Currently the issue of computer security in organizations is one of the main objectives with greater importance, as was discussed during the course, it is necessary to raise awareness among managers and senior managers of organizations to invest in computer security, since it is taken as an investment with cost benefit, in which the most important part of the company, such as its information, would be more protected. A computer security plan covers a large series of preventive measures against cyber-attacks in different areas of the organization, for example, antivirus, firewalls, as well as more measures that are already dependent on users, such as activating and deactivating certain permissions and privileges to be able to carry out their work tasks daily; as well as the creation of policies, which help us defining what is the objective of creating it, as well as what is the procedure that must be followed in case of detecting any vulnerability or an attack on computer security, as well as who are involved and what action should each person take. It is in the information that can be visualized in this document, from detecting which are the most dangerous vulnerabilities in each of the areas, to the creation of policies comparing the results of a before and after a computer security plan. Valores UANL aplicados en el proyecto. La Dirección de Bibliotecas de la Universidad Autónoma de Nuevo León hace suyos los valores que la Universidad Autónoma de Nuevo León ha enunciado como representativos de la institución, los cuales son: •Actitud de Servicio El equipo encargado de la elaboración del plan de seguridad informática siempre se mantuvo al tanto de las actualizaciones al proyecto dependiendo de lo que se buscaba en realidad para el negocio. •Honestidad Siempre se le hacían preguntas entre el equipo sobre qué era lo que en realidad necesitaba y se le contestaba de la manera más honesta para que así el proyecto fuera avanzando de la mejor manera posible. •Responsabilidad Los compañeros de trabajo hicieron sus tareas dependiendo de lo que le tocaba a cada uno y cada uno cumplió con los requerimientos que se impartieron por parte del líder de trabajo. •Respeto Se le guardo el respeto a la empresa, así mismo a nosotros mismos como equipo para que así pudiera tener confianza y comodidad en cuanto a las especificaciones y necesidades que se necesitaban para implantar el plan para la organización, además entre todos los compañeros de trabajo para así poder llegar a la meta de cumplir con el trabajo. •Trabajo en Equipo El trabajo en equipo fue de lo más esencial para la elaboración de este proyecto, porque así todos se podían comunicar, en cuanto a si alguien más encargado del proyecto necesitaba ayuda los demás podían apoyarlo con las dudas que éste podía tener, además de confiar en la dirección y control que daba el líder del equipo. Antecedentes. Nombre de la empresa: Viakable Giro: Viakable es la División Cables de Grupo Xignux, la cual integra a todas las empresas dedicadas a la fabricación y comercialización de conductores eléctricos dentro del propio grupo. En su conjunto, las empresas de Viakable dirigen su talento, su tecnología, sus productos de calidad de clase mundial y su capacidad de servicio a satisfacer los requerimientos más exigentes de la industria en cuanto a transmisión y distribución de energía eléctrica, ofreciendo siempre las opciones más eficientes, seguras y confiables para cada necesidad de transmisión de electricidad en este nuevo milenio, de la misma manera que lo ha hecho durante casi 60 años de indiscutible liderazgo. Tamaño: Empresa con más de 300 personas trabajando, entre las que se encuentran operadores, empleados y directores. Organigrama del departamento de TI: Gerente de informatica Gerente de infraestructura de TI Administracion de infraestructura de computo Jefe de telecomunicaciones Jefe de soporte a usuarios Guardia de seguridad en TI Jefe de help desk Gerente de proyectos de desarrollo Programador SR Programador JR Caso (problemática). ¿Qué es el ransomware WannaCry? WannaCry es un ejemplo de ransomware de cifrado, un tipo de software malicioso (malware) que los cibercriminales utilizan a fin de extorsionar a un usuario para que pague.El ransomware ataca cifrando archivos valiosos para que no puedas acceder a ellos, o bien bloqueando tu acceso al ordenador para que no puedas utilizarlo. El ransomware que utiliza cifrado se llama ransomware de cifrado. El tipo que bloquea tu acceso al ordenador se llama ransomware de bloqueo. Al igual que otros tipos de ransomware de cifrado, WannaCry secuestra tus datos con la promesa de devolverlos si pagas un rescate. WannaCry tiene como objetivo las computadoras que utilizan Microsoft Windows como sistema operativo. Cifra los datos y exige el pago de un rescate en la criptomoneda bitcoin por su devolución. ¿Cuál fue el ataque ransomware WannaCry? El ataque de ransomware WannaCry fue una epidemia global que tuvo lugar en mayo de 2017. Este ataque ransomware se propagó a través de las computadoras con Microsoft Windows. Los archivos del usuario se mantuvieron retenidos y se solicitó un rescate en bitcoins para su devolución. Si no fuera por el uso continuado de sistemas informáticos obsoletos y por la formación deficiente en torno a la necesidad de actualizar el software, el daño causado por este ataque podría haberse evitado. ¿Cómo funciona un ataque de WannaCry? Los cibercriminales responsables del ataque aprovecharon una debilidad en el sistema operativo Microsoft Windows mediante un ataque que supuestamente había desarrollado la Agencia de Seguridad Nacional de Estados Unidos. Conocido como EternalBlue, este ataque fue publicado por un grupo de hackers llamado The Shadow Brokers antes del ataque de WannaCry. Microsoft publicó un parche de seguridad que protegía los sistemas de los usuarios contra este exploit o vulnerabilidad casi dos meses antes de que comenzara el ataque de ransomware WannaCry. Por desgracia, muchas personas y organizaciones no actualizan periódicamente sus sistemas operativos, por lo que quedaron expuestas al ataque. Aquellos que no habían ejecutado una actualización de Microsoft Windows antes del ataque no pudieron beneficiarse del parche, y la vulnerabilidad explotada por EternalBlue los dejó expuestos al ataque. Cuando ocurrió por primera vez, la gente asumió que el ataque de ransomware WannaCry se había propagado inicialmente a través de una campaña de phishing (una campaña de phishing es aquella en la que correos electrónicos de spam con enlaces o archivos adjuntos infectados atraen a los usuarios para que descarguen malware). Sin embargo, EternalBlue fue el exploit o vulnerabilidad que permitió a WannaCry propagarse, y DoublePulsar era la "puerta trasera" (backdoor) instalada en las computadoras afectadas (que se utilizó para ejecutar WannaCry). ¿Qué ocurre si no se paga el rescate de WannaCry? El mejor consejo que se puede dar en lo que se refiere a los pagos de los rescates es no sucumbir. Evita siempre pagar un rescate, ya que no hay garantía de que te vayan a devolver tus archivos; asimismo, cada pago valida el modelo de negocio de los cibercriminales, lo que aumenta las probabilidades de que se produzcan futuros ataques. ¿Qué impacto tuvo el ataque de WannaCry? Hasta el momento solo está afectando una computadora la cual no tiene acceso a su información, se teme que se haya propagado el virus por la red ya que este virus no se detectó hasta después de varios escaneos porque la computadora estaba comportándose de manera extraña, tiempo suficiente para extenderse por la red. Protección contra ransomware Estos son los principales consejos que se aplicaran después de saber que tenemos esta incidencia: • Actualizar el software y el sistema operativo periódicamente • No hacer clic en enlaces sospechosos • Nunca abrir archivos adjuntos de correos electrónicos que no sean de confianza • No descargar archivos de sitios web que no sean de confianza • Evitar el uso de dispositivos USB desconocidos • Usar una VPN al utilizar una red Wi-Fi pública • Instalar software de seguridad para internet • Actualizar el software de seguridad para internet • Realizar una copia de seguridad de tus datos Determinar las necesidades de protección del sistema informático con objeto de análisis. Caracterización del sistema informático En el análisis de este proyecto destacamos las características que hacen al sistema informático diferente y dependiendo de sus especificaciones si es más o menos seguro. A continuación, destacaremos algunas propiedades recabadas sobre las características del sistema al cual nos dieron acceso. Expondremos las características más importantes e intentares englobarlas en términos generales para su mejor comprensión. En primer lugar, debemos tener en cuenta cuales son los activos y recursos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema. Posteriormente anexamos las amenazas que actúan sobre los activos y recursos a proteger, entre ellas, cuales tienen mayor probabilidad de materializarse en un riesgo y su posible impacto sobre la entidad. Al final, pero no menos importante incluimos los activos, recursos y áreas con un mayor peso de riesgo y que amenazas lo motivan a realizarse. En la primera tabla intentaremos cubrir todas esos activos y recursos importantes dentro de la empresa junto con su amenaza. Activos, recursos más importantes Amenazas Computadoras Virus, daños físicos, mantenimientos escasos Servidores Trafico excesivo, virus, mantenimientos escasos Switches Trafico excesivo, daños físicos, mantenimientos escasos Routers Tabla de ruteo deficiente, virus y trafico excesivo Red cableada y nodos Daños físicos por mala instalación, mantenimientos escasos Antenas Wi-Fi Daños físicos por mala instalación, mantenimientos escasos Cámaras de seguridad Mal ubicación de cámaras Alarmas Instalaciones defectuosas Recursos del dominio Virus, perdida de información Acceso a portales Perfil de usuario mal otorgado, hurto de contraseñas, robo de información de portales Para finalizar con este apartado tenemos lo que son los activos, recursos y áreas con mayor peso en la empresa y que por ende implican mayor riesgo de ataques o vulnerabilidades. Activos, recursos y áreas con mayor riesgo Computadoras Servidores Switches Routers Red cableada y nodos Antenas Wi-Fi Bases de datos Recursos del dominio Portales Identificación de las amenazas y estimación de los riesgos Riesgo Ocurr encia Costo Acciones Preventivas Acciones de emergencia Acciones correctivas Soporte Daños ambientales a las instalaciones. 10% Varía dependien do daño. Aprox. $50,000 - $500,000 Colocar protección estandarizada, reguladores de energía a los equipos para evitar que se dañen con inundaciones, sismos, descargas eléctricas e incendios Contar con equipos que cumplan con las necesidades de la operación para que no se vea afectada el área. Adquisición de equipos de respaldo para sustituir a los dañados o ver ajustes con la aseguradora para reponer lo dañado Factor humano 75% $15,000 Realizar capacitaciones constantes de los sistemas que se utilizaran Revisar documentación incidencias previas para resolver el problema o consultarlo con un superior Invertir en capacitación mínima de 1hr por sesión para erradicar el error humano. Red Informática Gusanos (virus) 40% $500000 -Contar con un antivirus de buena calidad siempre en estado actualizado día con día para que este mismo se encargue de analizar los archivos que se descargan en el ordenador ya sea -Cortar la conexión de internet de los ordenadores, esto impide que se transmitan la información de la organización a personal no autorizado.-No ejecutar programas hasta que haya quedado todo limpio, esto -En caso de que el antivirus haya sido burlado, tratar de cambiarlo por uno de mejor calidad. -Analizar los documentos de mayor a menor importancia para detectar que no haya quedado algún residuo. mediante correo electrónico o archivos compartidos. -Contar con cortafuegos, el cual impide poder detectar vulnerabilidades en la red. -Siempre tratar de contar con una copia de seguridad para perder la menor cantidad de información. para no permitir que se siga esparciendo por los ordenadores. Spam 70% $100000 -Tratar de no brindar siempre el correo electrónico al tratar de asuntos no tan relevantes. -Existen softwares que nos ayudan a filtrar el spam, se recomienda contar con uno. -Cada vez que se reciba algún mensaje de topo spam, no solamente eliminarlo, si no también marcarlo como spam y que los próximos mensajes de esa dirección se vayan directamente a la papelera. -Cancelar la suscripción de la publicidad indeseada, todo usuario tiene derecho a decir que no quiere que usen su correo para que les envíen publicidad. -En caso de que no se dé la opción para cancelar la suscripción de un boletín no deseado, se puede denunciar a la agencia de protección de datos. Base de datos Perdida de la información crítica de la organización. 15% $120,000 Implementación de copias de seguridad o respaldos de la información para prevenir robos de información o extravió de dicha información Solicitud de servicio para la recuperación de información en las unidades de almacenamiento dañadas para recabar la mayor información posible. Implementación de medidas exhaustivas para la protección de información en unidades de almacenamiento para disminuir el porcentaje de riesgo, como la activación de protocolos de transferencia de archivos para asegurar que no haya brechas de seguridad. Accesos indebidos a las bases de datos 35% $90,000 Adaptación al cifrado de datos para prevenir el acceso no autorizado a la base de datos y un acceso controlado por medio de políticas de acceso a aplicaciones Interrupción y desconexión del servidor de base de datos para evitar que se tenga un robo de información. Revisión de los cortafuegos y controles de acceso a la red para disminuir las posibilidades de accesos indebidos a la base de datos. Acceso a los edificios Accesos no autorizados 70% Aproximad amente costo $27,819.0 0 Diseño de una estrategia de seguridad que empieza por una buna protección perimetral y por un riguroso control de accesos que asegure que solo tendrán entrada los vehículos y personas autorizadas Utilizar botones de pánico en una emergencia como un atraco, por ejemplo, es una forma de accionar para recibir ayuda oportuna de las autoridades. Control del personal, localización de personas en edificios, control de salida autorizada de equipos portátiles, lectura de credenciales biométricas, matrículas de vehículos, alarmas por coacción, etc. Robos dentro de las instalaciones 80% Aproximad amente costo 30,000 Disponer de sensores de luz o movimiento, este tipo de herramientas sirven para estar alertas ante cualquier actividad. utilizar estrategias avanzadas para ayudar a prevenir robos por parte de empleados o clientes y reducir pérdidas por hurto en el establecimiento Tener muy bien monitoreado por medio de cámaras movimientos de artículos físicos e inventario en tiempo Avisar inmediatamente a las autoridades correspondientes -Rastreo de inventarios con identificación por radiofrecuencia -Utilización de etiquetado en origen para minimizar pérdidas -Proteger cajeros automáticos contra fraude y otros tipos de robo -Reducción de hurtos con sistemas de protección electrónica de artículos Acceso a las aplicaciones Permisos no necesarios otorgados a las aplicaciones 30% $50000 -No permitir todos los permisos a las aplicaciones, solamente los que sean necesarios para que pueda funcionar. -Seleccionar cuidadosamente las aplicaciones que se necesiten instalar, se recomiendan descargarlas de páginas oficiales y siempre mantenerlas actualizadas. -Descontar la conexión a internet para que no se divulgue la información. -Restaurar la información de la aplicación, para poder elegir desde un principio los permisos que se le va a otorgar. Robo de datos a la aplicación 40% $250000 -Mantener las aplicaciones siempre con la última actualización disponible instalada. -Seleccionar aplicaciones de sitios oficiales. -Contar con una copia de seguridad. -Descontar la conexión a internet para que no se divulgue la información. -No ejecutar más acciones operativas hasta estar seguro de que ya no existe forma que se estén robando la información de la aplicación. -Cambiar de aplicaciones por unas que cuenten con mayor seguridad. -Si no se puede realizar el cambio de aplicación, estar en constante reforzamiento para que no ocurran más ataques. Elaborar un plan de seguridad informática en forma integral para una organización que considere lo siguiente. (ANECA 2.2.) (ANECA 2.2) Describir un determinado problema y su solución a varios niveles de abstracción. Alcance El alcance propuesto del presente plan de seguridad abarca cada una de las áreas que conforman el departamento de Tecnologías de la Información y sus respectivos activos y recursos esenciales para su operación en las actividades correspondientes las cuales son de gran importancia, así mismo, se cubrirán los puntos que tengan una relación al sistema informático como redes internas, servicios de información internos o de terceros, el flujo de información, su tratamiento y su posterior almacenamiento. Propósito (ANECA 2.2) Describir un determinado problema y su solución a varios niveles de abstracción. El plan integral de seguridad informática tiene como principal propósito el análisis de posibles vulnerabilidades y riesgos que puedan afectar a los activos de información de la organización, además de que se busca adaptar las acciones a tomar ante un incidente de seguridad conforme a los estándares y normas de seguridad en vigor, y la creación de políticas de seguridad de información. Definir las políticas de seguridad para cada riesgo Título: Accesos no Autorizados (Acceso a los edificios) Objetivo: Impedir que una persona entre al lugar sin identificación previa de algún tipo. Ya sea la huella dactilar o un dispositivo electrónico, es necesario identificarse antes de entrar. Alcance: Todos los empleados del negocio Procedimiento: Encargado: Encargado del edificio 1. Supervisar que el personal interno y externo de seguridad adscrito al inmueble, cumpla con el servicio y encomiendas establecidas. 2. Monitorear si se están cumpliendo bien los protocolos de seguridad establecidos para el control de acceso Encargado: Personal interno seguridad 4- Aplicar los procedimientos y protocolos de seguridad 5-Recibir e identificar al empleado o visitante que pretenda ingresar al inmueble 6-Solicitar al visitante que se registre en la bitácora de control de acceso y salida. (Nombre, edad, dirección,) 7- ingresar información del visitante al sistema de control para el acceso del edificio- y, al concluir su turno, imprimir reporte de registros. 8-Informar al encargado del edificio sobre novedades, las actividades relevantes del turno. 10- Enviar mensualmente al jefe del Departamento de Seguridad, los partes de novedades y bitácoras con la firma y sello del encargado del edificio Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: José Daniel Mendoza de León Firma:Título: Robo dentro de las instalaciones (Acceso a los edificios) Objetivo: Evitar todo tipo de amenazas o robos dentro de la empresa Alcance: Todos los empleados del Negocio y equipos físicos de la empresa Procedimiento: Encargado: Encargado del edificio 1.Debe conocer el funcionamiento de los sistemas instalados y de los protocolos establecidos para una correcta utilización 2-hacer buen uso de los sistemas de seguridad, verificar que aquellas personas que vienen de visita realicen correctamente el control de acceso. 3-Inspeccionar constantemente las instalaciones y alrededores, y si nota algo raro es importante denunciar, y activar los protocolos de seguridad. 4- en caso de algún robo avisar a las autoridades correspondientes Encargado: Personal interno seguridad 5-En caso de haber detectado un robo dentro de la instalación por un empleado o visitante, se recomienda detener a la persona dentro del inmueble, y verificar primero en las cámaras de seguridad para confirmar si esa persona es culpable y así proceder con la denuncia 6-Procurar actuar con tranquilidad y prudencia ante situaciones de alto riesgo o de intimidación. 7-En caso de que una persona haya echo acto de robo y haya dado a la fuga, verificar junto al encargado del edificio la información de esa persona que tuvo que haberse registrado antes de entrar al inmueble. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: José Daniel Mendoza de León Firma: Título: Daños ambientales (Soporte) Objetivo: Protección contra daños ambientales hacia los equipos de cómputo. Se aplica solamente en instalaciones nuevas y con equipos con más de 5 años de vida para evaluar. Esta evaluación solamente la podrá aplicar personal del departamento de Soporte los cuales definirán los medios necesarios para la revisión de cada instalación. Alcance: Todos los empleados del negocio Procedimiento: 1. Detectar todo el equipo de cómputo instalado en las áreas. 2. Ver el estado en el que se encuentra (zona, instalación, temperatura) 3. Si el equipo está en condiciones poco optimas u operables, se levantar un ticket para la reubicación de este. 4. Evaluar la zona donde se reubicará el equipo de cómputo. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Garza Narváez Miguel Ángel Firma: Título: Manejo correcto de equipo (Soporte) Objetivo: Capacitación para el correcto uso del equipo de cómputo. Se aplicará cada 3 meses y a usuarios de nuevo ingreso sin excepción. Participa todo tipo de usuario los cuales se les hará entrega de una certificación sobre la ética de la empresa. Alcance: Todos los empleados del negocio Procedimiento: 1. Organizar con el jefe de cada área un tiempo para la capacitación del personal. 2. Identificar las fallas más comunes relacionadas con el personal y el manejo del equipo de cómputo. 3. Preparar una capacitación valida y rápida para que los usuarios eviten tener errores. 4. Preparar ambientes de prueba para detectar fallas comunes en tiempo real. 5. Corregir posibles detalles que tengan los usuarios y dudas con el manejo del equipo. 6. Crear conciencia sobre el correcto uso de periféricos y memorias USB. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Garza Narváez Miguel Ángel Firma: Título: Confidencialidad (Base de datos) Objetivo: Establecer las normas de seguridad de la información para garantizar la confidencialidad, integridad y disponibilidad de esta, además de protegerla contra cualquier amenaza. Esta política está dirigida a empleados de la empresa y sus subsidiarias, así como al personal externo. Alcance: Todos los empleados del negocio Procedimiento: 1. Los Incidentes de Seguridad de la Información deben contar con un procedimiento para su atención conforme a lo establecido en el plan de seguridad de la información. 2. Ante la pérdida de información crítica de la organización el procedimiento a seguir es: a) Solicitud de servicio para la recuperación de información en las unidades de almacenamiento dañadas para recabar la mayor información posible. b) Implementación de copias de seguridad o respaldos de la información para prevenir robos de información o extravió de dicha información. 3. Ante el acceso indebido a las bases de datos se tendrá que seguir el siguiente procedimiento: a) Interrupción y desconexión del servidor de base de datos para evitar que se tenga un robo de información. b) Adaptación al cifrado de datos para prevenir el acceso no autorizado a la base de datos y un acceso controlado por medio de protocolos de autenticación y de acceso a aplicaciones. 4. El área de base de datos será responsable de realizar las acciones correctivas para mitigar cualquier amenaza existente. a) Implementación de medidas exhaustivas para la protección de información en unidades de almacenamiento para disminuir el porcentaje de riesgo, como la activación de protocolos de transferencia de archivos para asegurar que no haya brechas de seguridad. b) Revisión de los cortafuegos y controles de acceso a la red para disminuir las posibilidades de accesos indebidos a la base de datos. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Garza López Adalberto Josué Firma: Título: Confidencialidad (Base de datos) Objetivo: Establecer las normas de seguridad de la información para garantizar la confidencialidad, integridad y disponibilidad de esta, además de protegerla contra cualquier amenaza. Esta política está dirigida a empleados de la empresa y sus subsidiarias, así como al personal externo. Alcance: Todos los empleados del negocio Procedimiento: 1. Los Incidentes de Seguridad de la Información deben contar con un procedimiento para su atención conforme a lo establecido en el plan de seguridad de la información. 2. Ante el acceso indebido a las bases de datos se tendrá que seguir el siguiente procedimiento: a) Interrupción y desconexión del servidor de base de datos para evitar que se tenga un robo de información. b) Adaptación al cifrado de datos para prevenir el acceso no autorizado a la base de datos y un acceso controlado por medio de protocolos de autenticación y de acceso a aplicaciones. 3. Las responsabilidades de cada área involucrada en el departamento de TI ante un incidente de seguridad son: Área de base de datos: a) Reportar al área de Seguridad de Información, información sensitiva a proteger y/o detectar en equipos de cómputo. b) Revisar Reporte e identificar la información que debe ser borrada y solicitarlo al área de Soporte Técnico. Área Seguridad Informática a) Identificar áreas con información sensitiva derivado a regulaciones en la empresa. b) Generar políticas y aplicarlas en los equipos de cómputo correspondientes. Área Soporte Técnico: Borrar la información solicitada del equipo de cómputo Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Garza López Adalberto Josué Firma: Título: Medidas contra la red (Red informática) Objetivo: Delito cibernético, virus (gusanos). Alcance: Hackers, Virus, Empleados. Procedimiento: Encargado de administrador de redes 1. Actualizar el software constantemente. 2. Capacitar a los empleados en cuestión de seguridad informática. 3. Utilizar una cuenta estándar y no una de administrador. Encargado de seguridad informática. 4. Tener programa de antivirus actualizado en todos los puestos de la red local, incluso en el servidor, para estar protegido casi al 100% sobre amenazadas de virus. 5. Evitar dar clic en enlaces de origen desconocidos y tener una red segura y constantemente actualizada por el encargado de la seguridad. 6. En caso de que haiga una ruptura de datos o conexión no deseado desde un servidor autorizado, llamar de inmediato al encargado deseguridad de informática para solucionar lo más pronto posible el daño. Cuando el empleado ya no utilice la computadora, debe apagarla y asegurarse que no esté en modo inhibido ya que, si está en suspendido y viene otro empleado a abrir la sesión actual de otro empleado, la probabilidad del robo de información o daño es inminente. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Sepúlveda Saldívar Jesús Adrián Firma: Título: Anti-Spam (Red informática) Objetivo: Poder contar con la capacidad necesaria para poder reducir las probabilidades de caer en un ataque de spam y así evitar problemas contra la red informática y no se presenten interrupciones en las tareas. Alcance: Cualquier empleado que se vea involucrado en el manejo de correo electrónico. Procedimiento: 1. Informar y capacitar a todos los usuarios en las mejores prácticas del email marketing para evitar el uso intencionado de sus herramientas para envíos de Spam; 2. Disposición de todos los usuarios una serie de herramientas con el solo propósito de analizar sus bases y envíos para evitar el envío de emails no solicitados o que pueden ser considerados como Spam; 3. Informar como formaron su lista de correo, su intención de utilizar las direcciones y dicen que son conscientes y de acuerdo con la política Anti-Spam. 4. Todos los correos electrónicos enviados desde su dirección de correo electrónico deben contener información de contacto de su organización, incluyendo el dominio y la dirección física. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Sepúlveda Saldívar Jesús Adrián Firma: Título: Acceso a las aplicaciones Objetivo: Poder contar con un sistema de control sobre las aplicaciones que se necesitan en la organización, cuidando de esta manera su integridad y la información que pueda contener cada una de ellas. Alcance: Esta política se aplica para todo personal de la organización que este involucrado en la visualización y modificación dentro de las aplicaciones manejadas. Procedimiento: 1. El acceso a los sistemas operativos estará protegido, mediante un inicio seguro de sesión, que contemplará las siguientes condiciones: • No mostrar información del sistema, hasta que el proceso de inicio se haya completado. • No suministrar mensajes de ayuda, durante el proceso de autenticación. • Validar los datos de acceso, una vez que se han diligenciado todos los datos de entrada. • Limitar el número de intentos fallidos de conexión auditando los intentos no exitosos. • No mostrar las contraseñas digitadas. • No transmitir la contraseña en texto claro. 2. El uso de utilitarios licenciados del sistema estará restringido a usuarios administradores. Se establecerá una política a nivel del controlador de dominio, que no permita la instalación de software y cambios de configuración del sistema. Ningún usuario final, deberá tener privilegios de usuario administrador. 3. El control de acceso a la información a través de una aplicación se realizará a través de roles que administren los privilegios de los usuarios dentro del sistema de información. Fecha elaboración: 23 de julio del 2020 Aprobó: Elaboro: Sepúlveda Saldívar Jesús Adrián Firma: Establecer el nivel de riesgo Riesgo Nivel Daños ambientales a las instalaciones Medio Factor humano Medio Gusanos (virus) Alto Spam Alto Perdida de la información crítica de la organización Alto Accesos indebidos a las bases de datos Alto Robos dentro de las instalaciones Medio Permisos no necesarios otorgados a las aplicaciones Medio Robo de datos a la aplicación Alto Accesos no autorizados Alto Definir las medidas y procedimientos a implementar Medios de protección de Soporte • Actualizar el software y el sistema operativo periódicamente • No hacer clic en enlaces sospechosos • Nunca abrir archivos adjuntos de correos electrónicos que no sean de confianza • No descargar archivos de sitios web que no sean de confianza • Evitar el uso de dispositivos USB desconocidos • Usar una VPN al utilizar una red Wi-Fi pública • Instalar software de seguridad para internet • Actualizar el software de seguridad para internet • Realizar una copia de seguridad de tus datos Medios de protección de Red Informática • Software de antivirus que permita analizar los documentos compartidos dentro de la organización para detectar anomalías o virus. • Firewall, necesario para proteger el trafico de red entrante y saliente, impidiendo el ingreso a los hackers bloqueando ciertos sitios webs. • Protección de la red Wi-Fi de infracciones por parte de piratas informáticos, cambiando el nombre del punto de acceso inalámbrico o enrutador. Medios de protección de Acceso a los edificios • Control de acceso: Sistemas Biométricos, Control de Acceso Electrónico • Intrusión: Botón de pánico • Prevención de perdidas: Vigilancia electrónica en artículos, control de activos • Video de Vigilancia: Administración de video, Cámaras de video, Videos analíticos. • Disponer de sensores de luz o movimiento, este tipo de herramientas sirven para estar alertas ante cualquier actividad. Puede espantar y persuadir a intrusos Medios de protección de Base de datos • Sistema de Gestión de Acceso Restringido • Firewall o cortafuegos • Contraseñas robustas • Cifrado de la información en la comunicación de la base de datos a punto destino • Controles de acceso a sitio o centro de datos • Mantener base de datos dentro de red interna de la organización y usar servidor intermediario. Medios de protección de acceso a las aplicaciones. • Portátiles y Smartphones seguros, ya que en la actualidad contienen gran información valiosa para la organización, imponiendo contraseñas seguridad que cumplan con ciertos requisitos de seguridad, y habilitación de la opción limpieza remota. Evaluar el sistema de seguridad diseñado que contemple situación actual y situación propuesta. Red Informática Anteriormente la empresa no contaba con algunos programas actualizados, lo cual generaba una vulnerabilidad para los hackers, haciendo más fácil la manera de entrar en su sistema. Con las acciones preventivas y correcticas propuestas se espera que el riesgo de algún ataque cibernético tengo menos probabilidad de poder acceder o dañar la información confidencial de la empresa. Base de datos Anteriormente no se contaba con un control de los permisos y privilegios aplicados a los empleados que laboraban en la organización, dejando vulnerable cualquier tipo de información que pudieran visualizar sin necesidad de requerir esa información trabajando en otra área. Tomando las acciones propuestas en el plan de seguridad informática se espera que los empleados cuenten con acceso a la información solo que sea necesario para realizar las tareas según se le sean asignadas, sin la opción. Acceso a los edificios Anteriormente la infraestructura en los edificios contaba con algunas vulnerabilidades al momento de monitorear los accesos por parte de los empleados y visitantes, así como la deficiencia de buenas políticas en caso de alguna perdida de un activo físico. Con la propuesta diseñada se implementaron controles de accesos más tecnológicos, como la tecnología biométrica, también el ingreso con reconocimiento facial, y tecnología contra intrusos como cámaras de seguridad, sensores, entre otros. Soporte Como bien se conoce, se considera importante que las personas que laboral en la organización cumplan con ciertas capacidades tecnológicas para utilizar el equipo de cómputo correctamente para su uso diario. Se plantea un plan para dar capacitaciones a los empleados en un periodo determinado, para que se pueda reducir la probabilidad de lo que se conoce como un “error de dedo”, así comotomar consciencia y estén más preparados para reducir el ataque en la seguridad que cae en los mensajes de correo electrónico engañosos. Identificar los requerimientos funcionales de acuerdo con los criterios establecidos de seguridad esperada. (ANECA 2.2) Describir un determinado problema y su solución a varios niveles de abstracción. Para este plan de seguridad informático elaborado de necesitan de diversos componentes necesarios para su implementación correcta, como lo son: Técnicos • Sistemas operativos actualizados: se recomienda que todos los softwares instalados, no solo el sistema operativo, cuenten con las últimas actualizaciones instaladas, esto para disminuir la probabilidad de alguna vulnerabilidad dentro de los softwares. • Complejidad de las contraseñas: contraseñas que cumplan con los requerimientos de las políticas establecidas, como lo son que tienen que contar con ciertos caracteres como cantidad mínima, así como especiales. • Autenticación cifrada: la autenticación que pasa la contraseña de una cuenta en texto plano está prohibida. • Seguridad física: medidas de seguridad físicas para proteger el sistema y todos los medios portátiles de acceso no autorizado, manipulación o robo. Humanos • Responsable de la seguridad informática: el director es el responsable de aprobar y tener actualizadas las políticas y normas de seguridad informática para la administración y control de los sistemas de información. • Personal capacitado para poder utilizar las tecnologías en búsqueda de mas vulnerabilidades posibles en la organización, así como la solución de estas. Financiero • Apoyo por parte de la organización para los medios necesarios contra los ataques cibernéticos, así como la contratación del personal capacitado que pueda implementar sus conocimientos. Enunciar y justificar las selecciones de algoritmos criptográficos aplicados en la solución propuesta. (ANECA 2.4). Escoger los patrones de solución, algoritmos • Cifrado SHA-1 (Secure Hash Algorithm 1) • Cifrado RSA ( Rivest, Shamir y Adleman) La causa por la cual se optó por usar estos dos algoritmos criptográficos fue por su fuerte capa de protección ante posibles intrusos en la red, si bien son los más seguros en la actualidad, uno de ellos fue creado hace más de 4 décadas, hablando del algoritmo RSA exactamente en 1977, pero no solamente por la seguridad fue que se eligió sino por su amplia adaptabilidad con los sistemas de información ya que cada algoritmo tiene distintas especificaciones necesarias lo cual lo hace un reto para poder implementarlo en el sistema, así mismo esto fortalece de gran manera a la protección de la información que se transmite y da un sentido de que se tiene un nivel de seguridad adecuado para poder realizar operaciones normalmente. Se planteó el problema que se tenía en la organización y cada uno de los riesgos y vulnerabilidades que estaban presentes en cada una de las áreas de la organización en el ámbito informático para poder elegir la solución más adecuada y definir cada una de las políticas de seguridad que se iban a desarrollar, con base en las normas y estándares de seguridad vigentes para asegurar un alcance de la organización en cuanto a todas sus áreas y además de esto, se implementaron diferentes acciones correctivas para mitigar cada uno de los riesgos con los que la organización contaba al momento de que se recibió el estado de la misma, actualmente los resultados obtenidos después de la aplicación del plan integral de seguridad informática llegaron a la expectativa que se esperaba y se tiene una organización que cumple con los protocolos de seguridad que se usan por la gran parte de empresas para proteger la información crítica. Establecer prácticas y técnicas vigentes de seguridad informática y ciberseguridad aplicables al caso. (ANECA 2.1.) Utilizar una serie de técnicas con las que identificar las necesidades de problemas reales, analizar su complejidad y evaluar la viabilidad de las posibles soluciones mediante técnicas informáticas. Para la correcta protección contra estos tipos de amenazas cabe destacar que por más seguridad que tengamos, eso no nos garantiza que nuestra información este 100% segura, sin embargo, esto sería como una guía de buenas prácticas para mantener nuestra información integra y que cuando nos intenten atacar, tarden en penetrar nuestra seguridad. A continuación, expondremos los consejos y recomendaciones que el departamento de seguridad y el gerente de cómputo nos recomendaron realizar para salvaguardar la información: Actualizar el software y el sistema operativo periódicamente Los usuarios se convirtieron en víctimas del ataque de WannaCry porque no habían actualizado su sistema operativo Windows. Si hubieran actualizado sus sistemas operativos periódicamente, se habrían beneficiado del parche de seguridad que Microsoft publicó antes del ataque. Este parche eliminaba la vulnerabilidad que explotó “EternalB lue” para infectar ordenadores con el ransomware WannaCry. El departamento de soporte, de mano con el area de seguridad y servidores nos encargamos de mantener el software y el sistema operativo actualizados, ya que, si por algún motivo los parches que el jefe de seguridad y el encargado de los servidores tienen problemas para lanzar parches de manera automática, el area de soporte acude personalmente al sitio a instalar el parche de manera manual. No hacer clic a enlaces sospechosos Implementamos un proxy el cual regula la navegación por el internet bloqueando páginas que pueden generar peligro para la información del usuario y procesos de la empresa. También se envió un comunicado vía correo para que hagan caso omiso a todo tipo de correo del tipo spam o phishing. Lo que intentamos inculcar al usuario es que eviten abrir archivos adjuntos de correos electrónicos a menos que estén seguro de que son confiables. Si el archivo adjunto les solicita que habiliten las macros para verlo, tendrán que pedirnos autorización ya que están controlados por cuenta administrador Evitar el uso de dispositivos USB desconocidos El antivirus que manejamos nos permite administrar y crear políticas de seguridad, aprovechando esta cualidad de nuestro antivirus, creamos una política para bloquear los puertos USB. Cuando el usuario quiera habilitar sus puertos, tendrá que levantar una solicitud para el desbloqueo explicando sus motivos, en caso de ser importante deberá dar VoBo. el jefe directo. Es importante evitar habilitar los puertos a todos los usuarios, siempre recordamos utilizar el servicio en la nube que nos brinda el Microsoft Office. Usar la VPN de la empresa al utilizar una red Wi-Fi pública o domestica Con el tema del Home Office, la empresa ha adquirido licencias para que los usuarios tengan acceso a los recursos de la empresa por medio del VPN, de esta manera si están utilizando la red wifi de sus casas, todo el tráfico de datos se filtra gracias a esta herramienta. Realiza una copia de seguridad de tus datos Estamos impulsando a todos los usuarios para que exploten al máximo la herramienta que manejamos para respaldar su información en la nube ya que además de tener su información a la mano, contamos con el apoyo por parte de Microsoft en caso de ataques de ransomware. Por esa parte el equipo de Microsoft nos garantiza que toda aquella información que nosotros respaldemos en la nube estaría cifrada y protegida con sus medidas de seguridad. Por otro lado, el administrador de servidores crea reemplazos diarios a los empleados más críticos para la empresa. Estas medidas no nos exentan de los posibles ataques de los delincuentes, pero con estas buenas prácticas podemos asegurar que estamos al día con las actualizaciones, métodos y procesos para salvaguardar nuestra información.Conclusión General. Español Después de realizar este plan de seguridad informática sobre la empresa “Viakable” donde gracias a un compañero que labora ahí, nos pudo proporcionar información importante para poder laboral este plan de seguridad informática, donde detectamos los riesgos y que acciones correctivas, preventivas y de emergencia se podían aplicar correctamente para disminuir ese riego. Esto se aplicó con una matriz de riesgo donde cada integrante del equipo tenía como responsable un área de trabajo y así poder identificar todos los puntos, después se analizó la matriz con todo el integrante y afinamos detalles para que las acciones de pudieran aplicar correctamente en cada área. Después de esto se crearon políticas para cada área, donde se describieron las acciones a realizar para cada riesgo, los procedimientos que tienen que seguir los encargados de cada área y el alcance de empleados que se va a llegar cada una. Gracias a esto pudimos aprender el objetivo que tiene crear un plan de seguridad informática, su principal objetivo es la protección de reactivos informáticos del usuario, además la importancia de saber proteger cualquiera archivo o información valiosa , esto lo aprendimos al momento de realizar la matriz de riesgo , se observó todo los riesgos que puede llevar si no tenemos bien implementado un plan de seguridad , la empresa perdería mucho ya que hoy en día es muy difícil tener por completo bien asegurado cualquier información guardad en dispositivo conectado a internet , y aun así si tenemos un plan de seguridad es probable que pueda a ver amenazas imaginémonos si no tenemos implementado un plan en seguridad sería imposible poderla controlar. Ya por último hablando en general sobre todo lo que se vio en esta materia sobra la seguridad, pudimos aprender muchas cosas, conceptos que quizás no lo teníamos muy en claro o no muy entendible y después de este curso quedo el conocimiento más reforzado, pudimos reforzar el conocimiento de aplicar una matriz de riesgos y sus políticas, las amenazas y el costo que puede existir si no tenemos un plan de informática implementado. Gracias a todo esto que pudimos aprender nos ayudara en un futuro aplicar buenas prácticas en nuestras áreas de trabajo o en nuestro negocio. es muy importante seguir un proceso y todos los lineamientos de un negocio mediante políticas para resguardar no solo la seguridad del negocio sino que pueda mantener las actividades diarias del negocio y es por eso que el área de TI es muy importante en este ámbito, ya que sin ellos, las funciones operacionales tecnológicas no podrían ser funcionales y no serían optimas de acuerdo a las necesidades del negocio ya que el mercado global siempre se actualiza y si uno no se actualiza, la probabilidad de fracasar es alta. Ingles After carrying out this computer security plan on the company “Viakable” where thanks to a colleague who works there, he was able to provide us with important information to enable us to work on this computer security plan, where we detect risks and what corrective, preventive and emergency actions they could be applied correctly to decrease that irrigation. This was applied with a risk matrix where each member of the team was responsible for a work area and thus be able to identify all the points, then the matrix was analyzed with all the member and we refined details so that the actions could be applied correctly in each area. After this, policies were created for each area, where the actions to be carried out for each risk were described, the procedures to be followed by the managers of each area and the scope of employees to be reached in each one. Thanks to this we were able to learn the objective of creating a computer security plan, its main objective is the protection of the user's computer reagents, in addition to the importance of knowing how to protect any file or valuable information, we learned this when making the matrix of risk, all the risks that can be observed if we do not have a security plan well implemented, the company would lose a lot since today it is very difficult to have completely well secured any information stored on a device connected to the internet, and even so if we have a security plan it is likely that you can see threats let's imagine if we do not have a security plan in place it would be impossible to control it. Finally, speaking in general about everything that was seen in this matter about security, we were able to learn many things, concepts that perhaps we were not very clear or not very understandable and after this course the most reinforced knowledge remained, we were able to reinforce the knowledge of applying a risk matrix and its policies, the threats and the cost that may exist if we do not have an IT plan in place. Thanks to all this that we were able to learn, it will help us in the future to apply good practices in our work areas or in our business. It is very important to follow a process and all the guidelines of a business through policies to safeguard not only the security of the business but also to maintain the daily activities of the business and that is why the IT area is very important in this area, since Without them, the technological operational functions could not be functional and would not be optimal according to the needs of the business since the global market is always updated and if one is not updated, the probability of failing is high. Conclusiones individuales. Garza López Adalberto Josué Español El trabajo realizado en la empresa elegida nos dio una experiencia agregada la cual nos servirá para poder aplicar de ser necesario las técnicas y estrategias usadas para definir el plan integral de seguridad de la información y además de esto conocimos los principales conceptos en cuanto a la seguridad y como se lleva a cabo cada paso para poder plantear de manera adecuada directivas de seguridad en las empresas lo cual es un punto fuerte que es necesario desarrollar como personal de TI. Ingles The work done in the chosen company gave us an added experience which will serve us to apply if necessary the techniques and strategies used to define the comprehensive plan of information security and in addition to this we knew the main concepts in terms of security and how to carry out each step to be able to properly raise security directives in companies which is a strength that needs to be developed as IT staff. Garza Narváez Miguel Ángel Español Esta unidad de aprendizaje me deja como conocimiento la importancia de realizar una adecuada guía de seguridad contemplando distintas áreas las cuales son importantes para la empresa. Tener un plan, una estrategia siempre es bueno ya que te ayuda a prevenir ataques futuros y a salvaguardar lo más valioso que tiene la empresa, la información. Nuestro equipo abarco las áreas de soporte, base de datos, acceso a edificios, acceso a aplicaciones y redes en los que cada integrante se dedicó solo a una para darle la atención que le corresponde. El área que me toco es el área de soporte y esta, es una muy importante ya que es el primer contacto cuando ocurren incidencias, ahí se reportan detalladamente los sucesos y si requiere ayuda especializada se contacta con los jefes de las áreas que corresponda la incidencia. Es nuestra responsabilidad tener los equipos al día, operando correctamente y viendo que todo vaya en perfectas condiciones. No obstante, todas las áreas dentro de este documento son importantes ya que en cada una podría haber vulnerabilidades las cuales podrían afectar a uno o más usuarios, por lo tanto, abarcar un poco de todas nos da el contexto necesario para entender lo que tenemos, las medidas que implementaremos y los tiempos. Ingles This learning unit leaves me as knowledge the importance of makingan adequate safety guide contemplating different areas which are important for the company. Having a plan, a strategy is always good since it helps you prevent future attacks and safeguard the most valuable thing that the company has, the information. Our team covered the areas of support, database, access to buildings, access to applications and networks in which each member dedicated only one to give them their due attention. The area that I touch is the support area and this is a very important since it is the first contact when incidents occur, there the events are reported in detail and if you require specialized help contact the heads of the areas that correspond to the incident. It is our responsibility to keep the equipment up to date, operating correctly and seeing that everything is in perfect condition. However, all the areas within this document are important since in each one there could be vulnerabilities which could affect one or more users, therefore, covering a little of all gives us the necessary context to understand what we have, the measures we will implement and the times. Mendoza de León José Daniel Español En conclusión, después de la realización de este plan de seguridad informática pude aprender de cómo se aplica en una empresa real, y lo importante que es tener un plan de estos implementados en cualquier empresa o negocio ya que garantiza poder disminuir los riesgos o controlarlos porque quizás no se puedan controlar completamente, pero si controlarlos para que no llegue a ver desastres dentro de la organización. : La implementación de políticas de seguridad informática en una organización es una solución que no sólo busca proteger, administrar de una manera eficiente todo tipo de recursos con los que cuenta una organización, sino que también busca dar solución, prevenir, evitar, controlar y minimizar los daños de incidentes que afectan a la organización, por esto, preparar y capacitar al personal en temas asociados a la seguridad informática y cómo hacer frente a incidentes que se llegarán a presentar con el fin de responder de una manera adecuada es una de las principales metas de esta estrategia. Por otra parte, es necesario capacitar al personal para que éste pueda tomar un papel dentro de la organización de manera que aplique este conocimiento en las diversas actividades que realiza dentro y fuera de la organización con el propósito de proteger de una forma adecuada la información que se le confía, así como la propia. Sobre esta materia me ha parecido muy interesante que me servirá mucho para mi futuro, ya que pude aprender mucho sobre las implementaciones de políticas que debe de tener una empresa y lo importante que son, también pude aprender los riesgos que puede pasar una empresa si no tiene bien organizado sus políticas de riesgo. en cuanto a la materia, si me dejo una enseñanza importante y sobre todo, nosotros como de LTI, debemos siempre ver del lado de las necesidades de todas las área y no solo de una área específica, y sobre todo entender la problemática para desarrollar una solución a corto plazo para no solo disminuir costos y minimizar errores, sino también aumentar el desarrollo tecnológico e innovar en cualquier negocio. Ingles In conclusion, after the realization of this computer security plan I could learn how it is applied in a real company, and how important it is to have a plan of these implemented in any company or business because it guarantees to be able to diminish the risks or to control them because perhaps they cannot be controlled completely, but if to control them so that it does not get to see disasters within the organization. The implementation of policies of computer science security in an organization is a solution that not only looks for to protect, to administer of an efficient way all type of resources with which an organization counts, but also it looks for to give solution, to prevent, to avoid, to control and to minimize the damages of incidents that affect the organization, for this reason, to prepare and to enable the personnel in subjects associated with the computer science security and how to face incidents that will get to present/display with the purpose of responding of a suitable way is one of the main goals of this strategy. On the other hand, it is necessary to train the personnel so that they can take a role within the organization in order to apply this knowledge in the diverse activities that they carry out inside and outside the organization with the purpose of protecting in an appropriate way the information that is entrusted to them, as well as their own. I found this subject very interesting and it will be very useful for my future, since I could learn a lot about the implementation of policies that a company must have and how important they are, I could also learn the risks that a company can go through if it does not have well organized risk policies. As for the subject, if I leave an important lesson and above all, we as LTI, we must always see the side of the needs of all areas and not just a specific area, and especially understand the problem to develop a short-term solution to not only reduce costs and minimize errors, but also increase technological development and innovation in any business. Sepúlveda Saldívar Jesús Adrián Español Concluyendo con este proyecto, junto con todo lo mencionado durante todas las sesiones, siempre se estuvo comentando los riesgos de que nos ocurra un ataque cibernético, los cuales se encuentran en todo el mundo, cuando menos nos los esperamos, ocurriendo a pequeñas y grandes organizaciones que parecieran que están seguras, pero nunca organización se encuentra a salvo. Por esta misma razón, contar con un plan de seguridad informática no es algo de lo que se debería dudar de tener, para poder entender donde puedes tener vulnerabilidades en tus sistemas, para una vez que sean detectadas, tomar las medidas necesarias para prevenirlas o corregirlas, dependiendo de cualquier área de la empresa. En este documento desarrollado es capaz de ayudar a proteger los datos, considerada la parte más importante de una organización, así como los sistemas, ya que hemos desarrollado las habilidades necesarias para poder detectar las vulnerabilidades más importantes que se pueden llegar a presentar, así como actuar de manera inmediata, preventiva y correctivamente; como también mencionando a tener en cuenta la importancia de las políticas que se deben de cumplir para reducir el riesgo de algún incidente que se pudiera llegar a presentar. Ingles Concluding with this project, along with everything mentioned during all the sessions, the risks of a cyber-attack happening to us, which are found all over the world, when we least expect them, happening to small and large organizations, were always being discussed. They seem to be safe, but the organization is never safe. For this same reason, having a computer security plan is not something you should doubt having, in order to understand where you can have vulnerabilities in your systems, so once they are detected, take the necessary measures to prevent or correct them., depending on any area of the company. In this developed document, it is able to help protect data, considered the most important part of an organization, as well as systems, since we have developed the necessary skills to detect the most important vulnerabilities that may arise, as well as act immediately, preventively and correctively; as well as mentioning to take into account the importance of the policies that must be followed to reduce the risk of any incident that may arise. Integrantes del equipo. Garza López Adalberto Josué Garza Narváez Miguel Ángel Mendoza de León José Daniel Sepúlveda Saldívar Jesús
Compartir