A11_E4

Vista previa del material en texto

INSTITUTO POLITÉCNICO NACIONAL
 ESCUELA SUPERIOR DE CÓMPUTO
Actividad 11: Plan de Seguridad de Información
Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governance. Fecha de entrega: domingo, 04/12/22. Grupo: 3CM13.
Equipo: 
· Briseño Lira Andrés (Compilador)
· López Reyna Bryan Ricardo (Evaluador) 
· Ortiz Rincón Christian Fernando (Revisor)
· Pérez Vidales Yesua David (Alertas)
· Reyes Rebollo Ángel de Jesús (Compilador)
· Valenzuela Góngora Eric Alejandro (Entregas)
IT - Governance | Equipo 4
2
Índice 
Introducción	1
Cuerpo del trabajo	2
1.	¿Qué es?	2
2.	¿Cómo afecta?	2
3.	¿Cómo se previene?	2
4.	¿Cuál es el manejo y respuesta en caso de contingencia	3
5.	Ejemplos aplicados	4
6.	Diagramas	7
Conclusiones	9
Referencias	9
Introducción
Para el desarrollo de este tema se realizó una investigación, en la cual primero es necesario identificar dos conceptos importantes como lo son las amenazas y las vulnerabilidades, ya que a su vez son factores que pueden llegar a afectar la operación de una organización, por eso es necesario la implementación de un plan de seguridad de la información.
Se da una explicación más a profundidad sobre como las amenazas y vulnerabilidades pueden afectar a la organización, con el fin de justificar la necesidad de un plan de seguridad de la información, así como algunas razones de porque una organización podría ser victima de intentos para quebrantar la seguridad de la información, dejando en claro que es cuestión de cuando van a atacar y que se debe estar preparado para cuando suceda.
Como parte de un plan de seguridad de la información se pueden establecer medidas preventivas para mitigar las posibilidades de sufrir daños en la integridad, confidencialidad y disponibilidad de la información, entendiendo que las medidas deben contemplar a todos los involucrados en las operaciones de la empresa con el fin de evitar brechas de información internas.
La parte final de un plan de seguridad de la información es la definición de respuestas en caso de ocurrir una contingencia donde se establece como se maneja la situación. También se explican los elementos necesarios para llevar a cabo un plan de respuesta a contingencias. 
Finalmente, se muestran ejemplos de la aplicación de un plan de seguridad de la información para posibles amenazas, las cuales fue necesario identificar, se incluyen las medidas preventivas que consisten en controles de acceso, y los pasos a seguir en caso de ocurrir una contingencia.
Cuerpo del trabajo
1. ¿Qué es? Una amenaza es toda aquella acción que aprovecha una vulnerabilidad para atacar o invadir un sistema informático, atentan contra su confidencialidad, integridad y disponibilidad. Una vulnerabilidad es un fallo o debilidad de un sistema de información que pone en riesgo la seguridad de esta, que puede ser producido por un error de configuración, una carencia de procedimientos o un fallo de diseño.
Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catástrofes naturales.
Las amenazas informáticas intencionales son las que se producen como consecuencia de un intento deliberado de robo de información, los ataques D-DOS de denegación de servicio, las técnicas de ingeniería social y la propagación del código malicioso.
También existen las amenazas informáticas no intencionales que son aquellas en las que por acción u omisión se expone una vulnerabilidad que pone en riesgo la información de la que se dispone en una computadora, por ejemplo, un incendio en el lugar en el que se encuentra el servidor puede dar lugar a la pérdida de información, aunque sea completamente accidental. 
Un plan de seguridad de información ayuda a disminuir las vulnerabilidades e incrementar las capacidades para dar respuesta a la amenaza o reducir su probabilidad, reduciendo así el riesgo. La existencia de un plan de seguridad informática guía a todos los miembros de la empresa sobre cómo actuar para proteger la información que se maneja de la manera más segura.
2. ¿Cómo afecta? Mediante la materialización de una amenaza podría ocurrir el acceso, modificación o eliminación de información no autorizada; la interrupción de un servicio o el procesamiento de un sistema, daños físicos o robo del equipamiento y medios de almacenamiento de información.
Existen varias razones por las cuales se intente violar la seguridad de la información:
· Alojar archivos (legales o ilegales) en un disco duro y robar espacio.
· Disponer de una IP para utilizar en actividades ilegales o fraudulentas.
· Ocultar actividades fraudulentas mediante el uso de la IP de la empresa.
· Intentar descubrir datos personales de algún tipo y acceder a las cuentas.
· Robar dinero, o hacer pagar a cambio de solucionar el problema.
· Captar imágenes o vídeos comprometedores que violen la privacidad y chantaje.
· Por diversión o por encargo de alguien que quiere perjudicar la empresa.
· Por espionaje industrial.
3. ¿Cómo se previene? Algunas acciones que pueden ser implementadas con el fin de poder mejorar la seguridad de la información son las siguientes:
· Conoce la información: El primer paso es tener un control sobre los activos informáticos que tenemos, elaborar un inventario que nos ayude a localizar toda la información de la empresa es indispensable.
· Catalogar la información: Hay información más sensible, valiosa y crítica que otra. Por ello, es importante definir las características de la información para definir cuál es el trato que necesitamos darle.
· Elabora un análisis de riesgos: Define los riesgos que corre la empresa al perder cierta información y al mismo tiempo, establece un protocolo de acción en caso de que suceda, que te permita actuar a tiempo.
· Establece controles y mecanismos: Todo esto para que estés protegido y armado para proteger la información: contraseñas de acceso, historial de visualizaciones y modificaciones, firma electrónica, etc.
La seguridad de la información es responsabilidad de la empresa, por ello es necesario que todo el personal involucrado de la empresa este capacitado en las medidas de seguridad tomadas en la empresa. Este es un reto, ya que cualquier grieta al interior puede vulnerar la seguridad total de la empresa.
4. ¿Cuál es el manejo y respuesta en caso de contingencia? La respuesta en caso de contingencia debe tener las siguientes características:
· Adecuada y oportuna
· Rentable
· Realista
· Acordada con los interesados
· Propiedad o responsabilidad de una persona
Para elaborar un plan de respuesta a contingencias es necesario lo siguiente:
· Crear equipos: Designar un equipo que gestione y comunique el plan de preparación para contingencias a todo el personal responsable. De igual manera se deben asignar responsabilidades claras y precisas para evitar cualquier malentendido.
· Evaluar la contingencia: Dependiendo del grado de afectación que la contingencia pueda generar, se debe evaluar cómo volver a operar en el menor tiempo posible con el fin de minimizar los daños posibles.
· Desarrollar un plan: Abordar las prioridades inmediatas con las acciones primordiales para la contingencia. Lo primordial es centrarse en un plan de recuperación para poder realizar una operación continua incluso cuando se produzca la contingencia.
· Ofrecer formación: Se recomienda establecer cursos de formación para impulsar la concienciación y la responsabilidad de los involucrados.
· Comprender las alertas: Compruebe el posible tipo de contingencia que pueden ocurrir en el área de la organización y entienda cada nivel de alerta. 
De igual manera es necesario determinar cuáles son las acciones que se realizan antes, durante y después de la contingencia, con el fin de tener claro cuáles son las acciones que se han realizado, se realizan y realizarán en caso de que la contingencia llegase a ocurrir. 
5. Ejemplos aplicados
Identificación de amenazas y riesgos.
Es importante identificar las posibles amenazas, estas pueden ser lógicas o físicas,y se pueden presentar de forma natural, accidental o provocada.
· Desastres naturales o de infraestructura. Pueden ser inundaciones, incendios, cortocircuitos, sobrecarga, terremotos.
· Errores en la lectura y escritura de datos. Eliminación o modificación voluntaria o involuntaria de información, accesos no autorizados, resguardo de información no adecuada.
· Daños en los equipos informáticos y de telecomunicación. Es todo aquel daño que es provocado por los imprevistos técnicos, tiempo de vida útil del equipo, conexiones eléctricas, planta eléctrica, conexión de banda ancha.
Prevención de amenazas o riesgos.
Por medio de controles de acceso.
Para lograr un control de acceso, es necesario determinar criterios que restrinjan la información de acuerdo con el personal autorizado. Los controles establecidos son los siguientes:
a. Acceso a las instalaciones. 
Implementación de elementos como: sistema contra incendios, identificación de zonas de riesgo y zonas restringidas, acceso controlado para empleados, identificación de visitantes, sistemas de seguridad y monitoreo con el fin de mantener segura la información y el activo que la produce, almacena y transmite.
b. Acceso a la información.
El personal no debe compartir información a personas no relacionadas con el trabajo sin autorización previa. Todo el personal que tenga en su custodia información es responsable de proteger la integridad de esta por medio del acceso y modificación que puedan provocar pérdida, alteración, destrucción o uso no adecuado. Es responsabilidad del usuario que haga uso de la información en el equipo o sistemas de información velar por la integridad, confidencialidad y disponibilidad de la información, especialmente en los casos que se considere reservada o confidencial.
Todo el personal, incluyendo las pasantías deberá firmar un acuerdo de confidencialidad y será responsabilidad de los jefes de cada Unidad velar por el cumplimiento de dicho acuerdo. Esto con el objeto de reducir el daño, pérdida o robo de información, con ello determinar obligaciones y responsabilidades de los usuarios.
c. Acceso lógico.
El acceso a los recursos institucionales en línea como intranet, sitios web, entre otros, tendrán un usuario único, el cual se debe asignar con base a la función.
Es responsabilidad del usuario mantener sus credenciales de acceso seguras y crear una contraseña de alto nivel.
El personal fijo, personal en pasantías y visitas, tendrán acceso a los servicios de red, internet, y recursos compartidos específicos con los privilegios según su actividad laboral.
 Gestión de amenazas o riesgos.
· Desastres naturales o de infraestructura. 
1. Informar al personal correspondiente. 
2. En los casos que el incidente se de en jornada laboral, activar la alarma institucional y evacuar al personal. 
3. En casos de inundación desconectar los equipos electrónicos, bajar los interruptores del tablero principal. 
4. En casos de incendio, hacer el adecuado uso de los extintores según el caso en instalaciones y equipos electrónicos. 
5. En casos de sobre carga eléctrica, verificar que los equipos de protección estén activos y de ser una falla constante se debe bajar los interruptores del tablero principal y desconectar los equipos protección eléctrica UPS.
· Errores en la lectura y escritura de datos. 
1. Cualquier caso que se presente en este apartado se debe notificar al jefe inmediato y suspender cualquier actividad que altere la información afectada. 
2. El jefe de la Unidad Organizativa debe notificar a la Unidad de Informática para realizar el análisis correspondiente y determinar las posibles causas. 
3. En los casos que se determine un acceso a la información no autorizado la Unidad de Informática brindará el soporte necesario para el cambio de credenciales del usuario afectado. 
4. Es importante no manipular la información luego de detectar una variante en ella, esto con el fin de facilitar el uso de herramientas que permitan la recuperación o restauración de la información
· Daños en los equipos informáticos y de telecomunicaciones. 
1. Notificar al jefe inmediato sobre el daño del equipo 
2. Solicitar el apoyo de la Unidad de Informática para la revisión del equipo y determinar las posibles causas del daño. 
3. Se proveerá equipo temporal en lo que se brinda el soporte técnico y o reparación del equipo dañado. 
4. En los casos que el daño sea provocado por fallas eléctricas se debe solicitar el apoyo de la Gerencia Administrativa para la revisión del o los tomacorrientes que afectan el equipo. 
5. Cuando se presenten dificultades con la conectividad a Internet, se debe informar a la Unidad de Informática para la revisión de los equipos y en los casos que sea necesario solicitar el apoyo inmediato del proveedor de servicios de internet (ISP).
6. Diagramas 
Conclusiones
Con la realización de la actividad pudimos observar cuales son algunas de las amenazas que existen en la información que tratamos con los sistemas y estrategias para poder prevenir dichas amenazas.
De igual manera fue interesante ver la gestión de riesgos orientada a la seguridad de la información, ya que anteriormente habíamos realizado la gestión de riesgos centrándonos en proyectos de TI, y aunque el proceso fue bastante similar, resulto interesante centrarse en la información que trataría el sistema y no en el sistema por sí mismo.
Por último, la sección en la cual investigamos acerca de ejemplos aplicados consideramos que fue la más práctica, esto debido a que el poder observar cómo está definido un plan para la gestión de amenazas y riesgos nos da una idea de cómo poder elaborar el nuestro, además de servirnos de base para generar uno que realmente cubra con los aspectos necesarios.
Referencias
 
Tipos de Vulnerabilidades y Amenazas informáticas (2020, 10 noviembre). Disponible en: https://www.ambit-bst.com/blog/tipos-de-vulnerabilidades-y-amenazas-inform%C3%A1ticas. Consultado el: 03/12/2022.
Algunas amenazas y sus consecuentes precauciones (s.f.). Disponible en: https://www.econo.unlp.edu.ar/detise/amenazasinformaticas-3918#:~:text=Las%20amenazas%20a%20la%20seguridad,malintencionados%20o%20con%20cat%C3%A1strofes%20naturales. Consultado el: 03/12/2022.
Amenazas de seguridad informática contra las que debes protegerte (2018, 30 enero). Disponible en: https://www.gadae.com/blog/amenazas-de-seguridad-informatica/ Consultado el: 03/12/2022.
La importancia de la Seguridad de la Información. (2020, 10 julio). Disponible en: https://blog.posgrados.ibero.mx/seguridad-de-la-informacion/ 
Plan de seguridad de la información digital. (2017). Disponible en: https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjL-9rS4-D7AhVRMEQIHaMuCHgQFnoECC8QAQ&url=https%3A%2F%2Fwww.transparencia.gob.sv%2Finstitutions%2Fiaip%2Fdocuments%2F309603%2Fdownload&usg=AOvVaw3QOlv3fp6c0SsUYr8Ccfqs
2