Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 49 vistas

    G Seguridad

    Cargado por

    Carlos Julio Santos Barbosa
    Este documento presenta información sobre sistemas de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27005. Explica cómo desarrollar un análisis de vulnerabilidades y amenazas, así como un plan de gestión de riesgos de seguridad informática para una organización. El plan incluye la identificación de riesgos como aplicaciones vulnerables, sistemas operativos sin actualizar y códigos maliciosos. También propone medidas como concientización en seguridad de la información, seguridad de cable

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    G Seguridad

    Cargado por

    Carlos Julio Santos Barbosa
    49 vistas9 páginas
    Este documento presenta información sobre sistemas de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27005. Explica cómo desarrollar un análisis de vulnerabilidades y amenazas, así como un plan de gestión de riesgos de seguridad informática para una organización. El plan incluye la identificación de riesgos como aplicaciones vulnerables, sistemas operativos sin actualizar y códigos maliciosos. También propone medidas como concientización en seguridad de la información, seguridad de cable

    Título original

    G.SEGURIDAD

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta información sobre sistemas de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27005. Explica cómo desarrollar un análisis de vulnerabilidades y amenazas, así como un plan de gestión de riesgos de seguridad informática para una organización. El plan incluye la identificación de riesgos como aplicaciones vulnerables, sistemas operativos sin actualizar y códigos maliciosos. También propone medidas como concientización en seguridad de la información, seguridad de cable

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    49 vistas9 páginas

    G Seguridad

    Cargado por

    Carlos Julio Santos Barbosa
    Este documento presenta información sobre sistemas de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27005. Explica cómo desarrollar un análisis de vulnerabilidades y amenazas, así como un plan de gestión de riesgos de seguridad informática para una organización. El plan incluye la identificación de riesgos como aplicaciones vulnerables, sistemas operativos sin actualizar y códigos maliciosos. También propone medidas como concientización en seguridad de la información, seguridad de cable

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 9

    SISTEMAS DE GESTION DE SEGURIDAD INFORMATICA

    Actividad:

    SGSI (information security management system, ISMS)

    Carlos Alfonso Delgado Santos

    Sergio Andres Martinez

    Fundación Universitaria del Area Andina

    Facultad Ingeniería y ciencias básicas

    Ingeniería de sistemas - Virtual

    Bogota D.C

    2020
    Introducción

    La presente actividad abarca sobre la ISO 27005, la cual presenta documentación


    para la gestión de riesgos en la seguridad de la información, esta norma es necesaria
    en una organización, ya que nos orienta y permite desarrollar un plan de gestión para
    proteger la información.
    Objetivos

    La presente actividad tiene como objetivo poner en práctica los conocimientos


    adquiridos en los ejes previos y poder analizar las vulnerabilidades y amenazas que
    pueden afectar una compañía y así desarrollar un plan de gestión de riesgos.
    Desarrollo

    1. Elabore un análisis de las vulnerabilidades de la red en la que ha venido


    trabajando.

    La vulnerabilidad es el riesgo que una persona, objeto o sistema puede tener frente a
    peligros inminentes, sean estos desastres naturales, desigualdades económicas,
    policitas, sociales o culturales.

    La Vulnerabilidad informática, es la que abarca los puntos débiles de un sistema


    computacional, donde la seguridad informática no tiene defensas necesarias a un
    posible ataque.

    Vulnerabilidades de una red informática.

    Las vulnerabilidades son debilidades en un sistema Operativo, software o sistema,


    que le permite a un atacante violar la confidencialidad, integridad, disponibilidad,
    control de acceso, y consistencia del sistema o de su información y aplicaciones.

    Existen dos tipos de vulnerabilidades. El primero es la vulnerabilidad teórica, y el


    segundo que implica al usuario es la vulnerabilidad real, conocida como “Exploit”.

    Los exploits son las vulnerabilidades en las aplicaciones y sistemas Operativos, las
    cuales se corrigen con actualizaciones.

    Tipos de Vulnerabilidades en informática:

    La problemática de las vulnerabilidades es estudiado y clasificado por muchas


    organizaciones y estas son las que lograron clasificarlas llegando a 4 tipos.

    Critica: Este tipo de vulnerabilidad permite la propagación de amenazas sin que sea
    necesaria la participación del usuario.

    Importante: Este tipo de vulnerabilidad es capaz de poner en riesgo la


    confidencialidad, integridad o disponibilidad de los datos de los usuarios, como así
    también, la integridad o disponibilidad de los recursos de procesamiento que este
    disponga.
    Moderada: Este es uno de los tipos de vulnerabilidades más sencillas de combatir, ya
    que el riesgo que presenta se puede disminuir con medidas tales como
    configuraciones predeterminadas, auditorías y demás. Aparte, las vulnerabilidades
    moderadas no son aprovechables en todo su potencial ya que no afecta a una gran
    masa de usuarios.

    Baja: Este tipo de vulnerabilidad es realmente muy difícil de aprovechar por un


    atacante, y su impacto es mínimo, ya que no afecta a una gran masa de usuarios.

    2. Analice las posibles amenazas que pueden llegar a afectar el funcionamiento


    de la compañía.

    Posibles amenazas en la organización

    Un sistema informático de una organización, siempre estará expuesto a muchas


    amenazas y ataques, las cuales están clasificadas.

    Tipos de atacantes:

    Hackers: Son expertos informáticos que descubren las vulnerabilidades de los


    sistemas, pero sin motivación económica o dañina.

    Crackers: Es un Hacker que rompe la seguridad de un sistema, y lo realiza con


    intención maliciosa, como para dañar o obtener beneficio económico.

    Sniffers: Son expertos en redes que analizan el tráfico para obtener información
    extrayéndola de los paquetes que se transmiten por la red.

    Programadores de virus: Son expertos en programación, redes y sistemas que crean


    programas maliciosos que producen efectos no deseados en los sistemas o
    aplicaciones.

    Tipos de ataques:

    Interrupción: Un recurso del sistema o red deja de estar disponible esto debido a un
    ataque.

    Intercepción: Un intruso accede a la información de nuestro equipo o a la enviada por


    la red.
    Modificación: La información ha sido modificada sin autorización, por lo cual ya no
    está integra.

    Fabricación: Se crea por ejemplo una página Web falsa para robar información
    confidencial del usuario.

    Tipos de amenazas:

    Spoofing: Se suplanta la identidad de un PC.

    Sinfín: Monitoriza y analiza el tráfico de la red para robar información.

    Conexión no autorizada: Se buscan agujeros en la seguridad de un equipo o servidor


    para realizar una conexión no autorizada.

    Malware: Se introducen programas maliciosos (Virus, Troyanos o gusanos) con el fin


    de dañar el sistema.

    Keyloggers: Se utiliza una herramienta para conocer todo lo que el usuario escribe en
    el teclado.

    Denegación de Servicio: Interrumpe el servicio que se está ofreciendo en servidores


    o redes de cómputo.

    Phishing: Se engaña al usuario para obtener información confidencial, suplantando


    un organismo o página web.

    También se debe contemplar que otra posible amenaza son los mismos usuarios y
    colaboradores de la organización, ya que, si no les brinda capacitaciones constantes
    en el uso de los sistemas de información, pueden lograr que el sistema se encuentre
    vulnerable a los tipos de amenazas que se relacionaron en el punto 2.
    3. Desarrolle un plan de gestión de riesgos de seguridad informática (de
    acuerdo a la ISO 27005 y a la Guía 7 del ministerio de TIC), en donde para cada
    amenaza y vulnerabilidad se genere un plan de acción que minimice el impacto.

    Plan de gestión de riesgos de seguridad informática

    La norma ISO 27005 contiene diferentes recomendaciones y directrices generales


    para la gestión de riesgo en sistemas de gestión de seguridad de la información, estos
    son los procesos que reducen las pérdidas y brindar protección de la información,
    logrando así conocer las debilidades.

    El riesgo se define como una amenaza que explota la vulnerabilidad de un activo


    pudiendo generar daños. El riesgo se encuentra relacionado con el uso, propiedad,
    operación, distribución y la adopción de las tecnologías de la información de la
    empresa.

    Para gestionar los riesgos se recomienda utilizar un proceso estructurado, sistemático


    y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

    Identificación de riesgos

    Un evento solo es un riesgo si existe un grado de incertidumbre por lo cual debemos


    estar seguros al identificar el riesgo y no sus causas y efectos.

    Se pueden generar los siguientes riesgos en tecnologías de la información.

     Aplicaciones en condiciones vulnerables.


     Sistemas operativos vulnerables y sin actualizaciones.
     Diseñar aplicaciones incompletas, con bugs y errores recurrentes.
     Tecnologías obsoletas.
     Mal rendimiento de la infraestructura IT.

    Principales riesgos de seguridad informática en las organizaciones.

    Abuso de los recursos: Es una mala práctica permitir que los usuarios de equipos de
    cómputo operen con todos los privilegios, ya que pueden permitir que instalen
    aplicaciones que pueden poner en riesgo la infraestructura.

    Fuga de información: La información es el activo más importante de una organización


    por lo cual se deben configurar los permisos de acceso.
    Correo no deseado: Estos correos son un problema, ya que el contenido de estos
    puede ser malicioso.

    Ataques informáticos: existen usuarios malintencionados que se dedican a realizar


    ataques en contra de la infraestructura de cómputo de una organización.

    Códigos maliciosos: Son programas que tiene el objetivo de causar daño en la


    organización, pueden afectar el rendimiento de los equipos o perdida de información.

    Concientización, educación y entrenamiento en Seguridad de la Información se debe


    de implementar inicialmente políticas en la organización antes de otorgar acceso a la
    información o los servicios; posteriormente se deben realizar actividades de
    concientización y formación continua que incluyan requisitos de seguridad como
    responsabilidades legales y uso adecuado de los servicios de procesamiento de la
    información.

    Seguridad del cableado. Se deberá implementar cableado de red y eléctrico de forma


    separada para evitar interferencia entre ellos, usar el cable adecuado para los
    sistemas críticos y deben existir cables de backup como contingencia ante fallas.
    Todos los cables deberán estar identificados y rotulados previamente lo que permitirá
    minimizar los errores de manejo.

    Mantenimiento de los equipos. Se deberán programar fechas para realizar


    mantenimiento de equipos acorde a las especificaciones del proveedor; además,
    controles y protección que eviten el mal funcionamiento del quipo, se debe llevar una
    bitácora donde se registren dichos mantenimientos y tener en cuenta que solo el
    personal autorizado puede realizar el mantenimiento de los mismos.

    Procesos operativos documentados. Deberán existir procedimientos documentados


    de todas las operaciones realizadas en el sistema, como copias de respaldos,
    manejos de la información, manejo de errores, registros de fallas del sistema, así
    como reinicio del sistema o recuperación de errores.

    Política de control de Acceso. Se deberán implementar políticas de control de acceso


    donde se establezcan reglas de control de acceso lógico al sistema y se clasifiquen
    de acuerdo a los requisitos de seguridad de las aplicaciones.
    Conclusión

    Es importante generar un plan de gestión de riesgos de seguridad informática, para


    conocer los posibles riesgos y amenazas a las cuales esta vulnerada una
    organización, y así poder tomar medidas para tratar de limitarlas o eliminarlas.
    La norma 27005 puede aplicar en cualquier organización sin importar su tamaño, esta
    norma facilita la gestión de los riesgos de seguridad de la información y proporciona
    orientación a los encargados de como implementar el sistema de gestión de la
    seguridad de la información.

    Referencias

    Pmg-ssi.com, ISO 27001: Plan de tratamiento de riesgos de seguridad de la


    información. Recuperado de https://www.pmg-ssi.com/2017/06/iso-27001-plan-
    tratamiento-riesgos-seguridad-informacion/
    Tecnologia+informatica, Vulnerabilidades informáticas. Recuperado de
    https://www.tecnologia-informatica.com/vulnerabilidades-informaticas/
    Infosegur.com, Amenazas y fraudes en los sistemas de información. Recuperado de
    https://infosegur.wordpress.com/tag/vulnerabilidades/
    Pmg-ssi.com, ISO 27005: ¿Cómo identificar los riesgos?. Recuperado de
    https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/

    También podría gustarte