Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
amenazas y vulnerabilidades
Grupo: 233004_2
ECBTI
Especialización En Seguridad Informática
CEAD Cali
junio 2019
2
Tabla de contenido
Introducción ............................................................................................................................... 3
Justificación................................................................................................................................ 4
definido.
Conclusiones ............................................................................................................................ 16
Referencias ............................................................................................................................... 17
3
Introducción
Se usarán herramientas alineadas a ISO 31000 que permitirán dejar clara la situación actual en
cuanto a lo que inicialmente debes ver en una organización e identificar para dar una valoración
futura de sus riesgos.
Además de estos aspectos fundamentales al inicio del proceso de gestión de rasgos, veremos que
los conceptos son muy importantes tener claros y alineados a una metodología internacional como
MEGERIT poder llegar a lo que la realidad de una empresa entrega para su análisis y posterior
gestión.
4
Justificación
Los problemas de seguridad informática que viven hoy en día las empresas en le mundo,
de datos y de dinero por las organizaciones, son razón suficiente para que podamos por medio de
Lo anterior como un punto inicial o de partida para llegar a brindar a las empresas capacitación,
Objetivos
Objetivo general: Conocer y aplicar los conceptos básicos fundamentales de preparación de los
escenarios y activos requeridos para la futura valoración y gestión del riesgo en las empresas.
Objetivos específicos:
• Identificar con base en un escenario real los activos que la empresa tiene para su
valoración.
Organigrama
Departamen
to de
Sistemas
Infraestructu
Desarrollo Soporte
ra
Desarrollo
Equipos de Redes de Soporte Servicios de
Servidores de Culturización
Computo datos Técnico Internet
aplicaciones
Cargos y funciones:
logro de los objetivos estratégico de la organización, estas actividades son técnicas, estratégicas y
operativas para que con el uso de los recursos o activos tecnológicos la entidad pueda prestar sus
AREA DE INFRAESTRUCTURA.
todos los equipos de los usuarios pc´s o portátiles, los servidores donde se almacenan
funcionamiento.
organización, gestiona recursos físicos como switches, routers y los servicios como telefonía o
internet.
AREA DE DESARROLLO
las bases de datos de las aplicaciones que la organización tiene en producción, implementa las
buenas prácticas para la correcta actividad de estas bases de datos. Y finalmente coordina con
1 y las pruebas de todos los sistemas que la organización desarrolla para el cumplimiento de sus
objetivos.
AREA DE SOPORTE
Jefe de soporte: Responsable del servicio que se presta a los funcionarios de la organización en
cuanto al uso de las tecnologías, es el funcionario que coordina al grupo de sistemas para los
Este debe diseñar implementar y mantener planes de acción para el normal funcionamiento de os
empresa.
(HW)
Equipamiento IP Phone 110 Telefono ip en sala de Internet
Informático
(COM) Redes de Switche 2960- Switche para gestion de conexión de la sala de
Comunicaciones 24TT internet a la red LAN de la organización.
(HW)
Equipamiento PC-3 PC de usuario en Oficina de registro y conrol
Informático
(HW)
Equipamiento IP Phone 113 Telefono ip en Oficina de registro y control
Informático
(COM) Redes de Switche para gestion de conexión de la oficina de
Switche 2 2960-
Comunicaciones registro y control a la red LAN de la
24TT
organización.
(AUX)
Impresora Printer
Equipamiento Impresora de la oficina de Registro y control
0
Auxiliar
(HW)
Equipamiento PC-6 PC de usuario en Sala de Profesores
Informático
(HW)
Equipamiento IP Phone 114 Telefono ip en la sala de profesores
Informático
(COM) Redes de Switche 3 2960- Switche para gestion de conexión de la Sala de
Comunicaciones 24TT profesores a la red LAN de la organización.
(AUX)
Impresora Printer
Equipamiento Impresora de la Sala de profesores
1
Auxiliar
(COM) Redes de Switche 3 2960- Switche para gestion de conexión de la sala de
Comunicaciones 24TT profesoes a la red LAN de la organización.
PROCESO ADMINISTRAVO
(HW)
Servidor de Antiguo departamento de sistemas
Equipamiento Server FTP
Servidor de transmisión de datos
Informático
(HW)
Servidor de oficina del departamento de sistemas
Equipamiento Server DHCP
para gestion de las direcciones IP de la red LAN
Informático
(HW)
Servidor de aplicativo de registro y control de la
Equipamiento Server R&C
oficina del deparamento de sistemas
Informático
(HW)
Servidor del telefonia IP de la oficina del
Equipamiento Server PBX
departamento de sistemas
Informático
(COM) Redes de Router principal CORE del departamento de
Router ASA 0
Comunicaciones sistemas, conectividad de toda al red LAN de la
Cisco
organziación
10
Amenazas
Activos de Information
Metodologia Magerit
(HW) Equipamiento Informático [E8] Difusión de software dañino
(HW) Equipamiento Informático [A6] Abuso de privilegios de acceso
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(COM) Redes de Comunicaciones [A24] Denegación de servicio
(HW) Equipamiento Informático [E8] Difusión de software dañino
(HW) Equipamiento Informático [A6] Abuso de privilegios de acceso
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(HW) Equipamiento Informático [A6] Abuso de privilegios de acceso
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(AUX) Equipamiento Auxiliar [I9] Interrupción de otros servicios y suministros esenciales
(HW) Equipamiento Informático [A8] Difusión de software dañino
(HW) Equipamiento Informático [A6] Abuso de privilegios de acceso
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(AUX) Equipamiento Auxiliar [I6] Corte del suministro eléctrico
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(HW) Equipamiento Informático [E8] Difusión de software dañino
(HW) Equipamiento Informático [E8] Difusión de software dañino
(HW) Equipamiento Informático [E8] Difusión de software dañino
(HW) Equipamiento Informático [E8] Difusión de software dañino
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(COM) Redes de Comunicaciones [A12] Análisis de tráfico
(HW) Equipamiento Informático [A6] Abuso de privilegios de acceso
(COM) Redes de Comunicaciones [A24] Denegación de servicio
(SW) Sofware [E20] Vulnerabilidades de los programas (software)
(SW) Sofware [E20] Vulnerabilidades de los programas (software)
(SW) Sofware [E20] Vulnerabilidades de los programas (software)
13
Implementación y
(HW) Equipamiento Ataque de día cero de malware o administración efectiva de la
Informático ransomware solución antimalware y
antiransomware
Firma de clausulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Carencia de políticas control de de seguridad de IDS en el
Comunicaciones tráfico IDS UTM o firewall de la red de
perímetro y red interna
Implementación de un plan de
(HW) Equipamiento mantenimiento preventivo en
Falta de Mantenimiento del equipo
Informático todos los equipos de la
organización.
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
14
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de un plan de
(AUX) Equipamiento Falta de mantenimiento preventivo de mantenimiento preventivo en
Auxiliar los equipos todos los equipos de la
organización.
Firma de cláusulas de
confidencialidad con
(HW) Equipamiento Uso de equipos para actividades funcionarios y establecimiento
Informático ilícitas de la política de seguridad de
la información en la
organización.
Firma de cláusulas de
confidencialidad con
Falta de políticas de seguridad y
(HW) Equipamiento funcionarios y establecimiento
cláusulas de confidencialidad con los
Informático de la política de seguridad de
funcionarios
la información en la
organización.
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de una red
(AUX) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Auxiliar de mallas de aterrizaje para la
corriente alineado a la norma
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de una red
(HW) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Informático de mallas de aterrizaje para la
corriente alineado a la norma
Implementación y
(HW) Equipamiento Falta o deficiencias en sistema de administración efectiva de la
Informático antivirus solución antimalware y
antiransomware
Implementación de una red
(HW) Equipamiento regulada con UPS y sistemas
Falta de corriente regulada
Informático de mallas de aterrizaje para la
corriente alineado a la norma.
(HW) Equipamiento Falta o deficiencias en sistema de Implementación y
Informático antivirus administración efectiva de la
15
solución antimalware y
antiransomware
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
Implementación de políticas
(COM) Redes de Falta de políticas de gestión de de seguridad de IDS en el
Comunicaciones identificación de intrusos UTM o firewall de la red de
perímetro y red interna
(HW) Equipamiento Seguridad física de CCTV y
Extracción física del teléfono
Informático registro de guardas Físicos.
Implementación de políticas
(COM) Redes de Carencia de políticas control de de seguridad de IDS en el
Comunicaciones tráfico IDS UTM o firewall de la red de
perímetro y red interna
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones
Implementación de un
Falta de configuraciones adecuadas y servidor de parches y
(SW) Software
actualizaciones de parches actualizaciones y las políticas
de gestión de actualizaciones.
16
Conclusiones
Hemos identificado con base en la estructura actual de la organización los elementos que
riesgos informáticos de la organización, es decir son los que ejecutan las actividades y son los
Sabemos que identificando esta infraestructura podemos tener claros los activos que cada área
maneja y dejarlos como responsables de estos activos en el armado de las matrices de riesgos.
Como activos el factor humano es clave para las actividades de gestión de riesgos por lo cual
Referencias