Teoría de Seguridad de la Información

Invertir en seguridad: una oportunidad para crecer empresarialmente

Luis Yeferson Reyes Bonilla

Universidad Politécnico Grancolombiano

ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN – VIRTUAL
Bogotá DC
2019
 Módulo Teórico-Práctico
Actividad en contexto

1) Identifique por lo menos 3 activos de información importantes para la

empresa
 Gestasalud
 Sistema General de Seguridad Social en Salud
 Servicio reclamaciones por eventos catastróficos y/o accidentes de
tránsito ECAT
 Backup
 PC
 Personas

2) Confirme en qué medida la norma ISO 27001:2013 ayudaría a la empresa

a tomar medidas con respecto a seguridad.

La entidad adopta un sistema de gestión de seguridad de la información

como una herramienta o una estrategia de negocio y la forma de desplegar
el sistema de gestión de seguridad de información lo hace basado en una
normal internacional que fija unos parámetros probados y garantizados para
que el sistema de gestión se despliegue de mejor manera en la Entidad. Esto
le otorga a la empresa confianza en la operación, en la forma que realiza sus
tareas y adicionalmente a sus cliente y partes interesadas les da la
tranquilidad de que los procesos de la entidad son controlados y manejados
de acuerdo a las recomendaciones que se plasma en la norma del estándar
internacional (ISO 27001 / 2013).

Uno de los grandes diferenciadores y de las cosas a favor de implementar

una norma, es contar con buenas practicas probadas en el mercado, para
obtener beneficios en la forma de trabajar, realizar y asegurar sus activos, en
 la forma de gestionar sus riesgos y en la forma de manera controlada
enfrentar los posibles incidentes que llegasen a presentarse.

3) Si la empresa no realiza un ejercicio de implementar políticas de

seguridad, ¿cómo se verían afectados cada uno de los principios?
Mencione por lo menos 2 situaciones de afectación por cada principio.

Si la empresa no aplica políticas de seguridad se vería se verían afectados

todos los principios, dado que todos los principios están relacionados uno
con el otro, los 3 principios la disponibilidad, integridad y confidencialidad, su
ausencia afecta negativamente a la empresa.

Si no hay disponibilidad generaría pérdida de clientes, perdidas económicas,

perdida de información por desconexión.
Si no hay confidencialidad se pierden negocios, las empresas eternas a ella
adquieren información de la misma, la competencia podría usar su
información a favor de posibles clientes, robar, etc.
Si no hay integridad se podría perder la confiabilidad de los datos de la
empresa.

Si faltara la disponibilidad del software desarrollado por la empresa de

Asesorías Integrales y Procesos Administrativos AIPAD SAS, podría afectar
claramente la confianza del funcionamiento del mismo perdiendo un cliente
potencia.

Llegado un fallo de conexión en el servidor físico y las dos máquinas virtuales

de la empresa, el personal que trabaja en Outsourcing, afectaría la
posibilidad a la empresa de responder y adaptarse rápidamente a los
cambios del negocio, evitado ser más competitiva.
 Si faltaría la integridad del servicio ECAT, dado que los documentos
presentados ante el FOSYGA pueden ser alterados.

Además, se podría presentar una falencia de la integridad en la gestión del

Back Up dado que la restauración no se garantizaría el 100% porque puede
ser manipulada y generar cambios ya sean maliciosos en la restauración.

4) De acuerdo con la afectación de los principios y los activos indicados,

indique una vulnerabilidad, amenaza y riesgo por cada activo.

Servicio reclamaciones por eventos catastróficos y/o accidentes de

tránsito ECAT:
 Vulnerabilidad: Interface de usuario compleja.
 Amenaza: Uso inadecuado del mismo software.
 Riesgo: Robo de información o documentación de los clientes.
Backup:
 vulnerabilidad: Falla del de seguridad router/ servidor afectando al
Cobian Backup 11.
 Amenaza: Permitir acceso a cibercriminales.
 Riesgo: El atacante de tipo man-in-the-middle ejecutar o agregar
nuevas tareas de copia de seguridad cuando el servidor maestro es
suplantado, además puede ejecutar comandos del sistema de
remotamente mediante la violación de eventos de copia de seguridad
previa.
Personas:
 Vulnerabilidad: El personal que trabaja en Outsourcing en lugares
públicos a través de la VPN.
 Amenaza: Personas externas a la entidad pueden capturar
información almacenada medios o documentos de la empresa.
 Riesgo: La destrucción parcial o total de la información.
5) Mencione posibles ataques a los cuales estaría expuesta la empresa, si
no se toman acciones para mejorar la gestión de la seguridad.

 La falta de claridad de los activos genera que alguna información que

necesite mayor protección, sea vulnerable a cualquier persona que
desee acceder a ella, lo cual no se pueden definir las estrategias de
seguridad acordes a las necesidades de cada activo en relación a su
nivel de riesgo e importancia relativa en la empresa.
 Como no hay un procedimiento claro de retiros del personal, puede
suceder que no se inhabiliten los accesos a la empresa, como lo son
las credenciales, acceso al correo o cualquier aparato que haga parte
de la empresa.
 Como no cuenta con cámaras o control de acceso físico no hay
registro de las personas que entran o salen de la empresa.
 Los accesos a las carpetas compartidas donde se encuentra el
software de la empresa no cuenta con privilegios de seguridad, lo cual
cualquier intervención maliciosa del cualquier personal se podría
cometer.