PLAN DE MEJORAMIENTO

PRESENTADO POR:
WILMER ANDRES AROCHA RICO
JOSÉ EDUARDO HERNÁNDEZ POLANCO

PRESENTADO A:
ING. ROBERT ANTONIO GUZMAN CAVADIA

FUNDACIÓN UNIVERSITARIA ÁREA ANDINA

AUDITORIA DE LA SEGURIDAD
INGENIERÍA DE SISTEMAS
2019
 INTRODUCCIÓN

Se cataloga la información como uno de los activos más relevantes dentro de una
organización en la actualidad, debido a los intercambios que se realizan a través
de la red conlleva a poner el alto riesgo la seguridad confidencialidad, integridad y
disponibilidad de la Información. Conocemos a diario de casos donde archivos de
las organizaciones han sido deteriorados por falta de la implementación y
aplicación de un buen sistema de gestión de seguridad informática vigilado por
auditorias en cada una de las áreas que haga uso de las TIC. Por esta razón es
nuestro deber como profesionales velar por controlar el tratamiento de la
información en las organizaciones, partiendo con hacer pedagogía en los
empleados. Con el uso de herramientas tecnológicas, personal capacitado y un
manejo correcto de los procesos atendidos en garantizar la protección del buen
funcionamiento de la empresa y por supuesto cada uno de sus activos partiendo
del activo humano.
IMPRESORAS
Realizamos la auditoria a las impresoras y evidenciamos los siguientes riegos.
• Fuga de Información por impresión de información confidencial
realizada por usuarios no autorizados.
• Aumento de Costos en insumos por mal uso de la impresión.
• No existe restricción para enviar ordenes de impresión a través de la red.
Por el lugar de ubicación de algunas impresoras cualquier persona sin ninguna
autorización puede hacer uso de ella puesto que se encuentran ubicadas en
lugares fuera de vigilancia, lo que promete un riesgo al activo (Información). A
continuación, podemos observar la matriz de riesgo su calificación,
observaciones, causas, probabilidades y consecuencias de estos como Pérdida
económica, Pérdida de Imagen, etc.
En la segunda imagen podemos observar la matriz de calificación, evaluación y
respuesta a los riesgos. Se recomienda
• El uso de impresión por usuarios con contraseñas determinados por
direcciones IP con privilegios para enviar ordenes de impresión.
• Deshabilitar el uso compartido de archivos e impresoras en equipos
que no requieran tales privilegios.
• Hacer uso de estos dispositivos solo con fines útiles a la empresa.

Matriz del riesgo Fuente: Propia

 Evaluación del riesgo Fuente: Propia

EQUIPOS DE CÓMPUTO

Al realizar el proceso de auditoria en una organización a los equipos de cómputo

aplicamos la matriz de riesgos (Imagen 1) con al cual podemos analizar el
funcionamiento de los equipos. De acuerdo con los riesgos que se evidencian por
no cumplir las normas mínimas de un correcto funcionamiento como puede ser
tener hardware y software obsoleto no cumplir con actualizaciones no tener un
control por parte del grupo de sistemas para el análisis de los equipos tecnológico
de la organización, al evidenciarse los riesgos se establece una lista de
comprobación con el cual determinamos el impacto y área que se pueden ver
afectadas con lo encontrado (Imagen 2).
Al encontrar los riesgos aplicamos un plan de tratamiento con los cuales se da una
solución a lo evidenciado estableciendo un plan de trabajo con fechas de inicio,
fechas de fin e involucrando diferentes áreas las cuales se identifique que pueden
ayudar a mitigar los riesgos como lo pueden ser : Proveedor ,Almacén, mesa de
ayuda , soporte y los grupos de sistemas con los cuales se puede tener una certeza
del software y hardware de los equipos además que se cuenten con las
actualizaciones de acuerdo a las necesidades del negocio de la organización .
Para esto establecer y tener un control de las observaciones indicada se evalúa
mediante un seguimiento el cual de acuerdo con el riesgo se establecerían con
tiempos acordes al negocio en este caso se establece un control cuatrimestral.
Imagen 1
Imagen 2
ROUTER WIFI
Se realiza la respectiva auditoria de seguridad a dispositivos tales como Router
WIFI en los cuales podemos encontrar vulnerabilidades y amenazas posibles sin
embargo para ello se realiza una matriz de riesgo donde se evidencia no solamente
un dispositivo tal como Router si no demás componentes que diariamente son
usados en la parte tecnológica y que si no se configuran y se administran de la
forma más adecuada se puede llegar a presentar caso críticos donde la perdida de
información y la afectación al servicio será dada de manera negativa.
Vulnerabilidades posibles
• Contraseñas predeterminadas:
Es una de las vulnerabilidades más obvias ya que sabemos que al adquirir nuevos
dispositivos como lo son ROUTER WIFI entre otros llegan con contraseñas por
default, es ahí donde el administrador hace caso omiso y deja la misma clave y se
logra vulnerar la red fácilmente.

• Suplantación de IP:
La suplantación es bastante difícil ya que el agresor debe predecir los números
de secuencia TCP/IP para coordinar la conexión a sistemas de destino, aunque
hay varias herramientas disponibles para que los atacantes realicen dicha
agresión.

Amenazas Posibles
• Arquitecturas inseguras:
Una red mal configurada es un punto de entrada a usuarios no autorizados.
Abandonar un sitio confiable y abrir una red local vulnerable a la Internet que es
altamente insegura, es como si dejara la puerta entreabierta en un vecindario de alta
delincuencia organizada no ocurre nada por un tiempo, pero al final alguien
aprovecha la oportunidad. Esta es una amenaza latente en cualquier red
informática.

• Redes de difusión:
Esta suele ser otra amenaza común y hace referencia a los protocolos de
resolución de direcciones como ARP o enmascaramiento de direcciones de control
de acceso de medios MAC y se debe a que Los administradores de sistemas
suelen no dar importancia al hardware de red en sus esquemas de seguridad es
decir, cada vez que un nodo transmite datos a través de la red a un nodo receptor,
el concentrador o enrutador envía una transmisión de paquetes de datos hasta que
el nodo recipiente reciba y procese los datos.
Matriz de riesgo
 Luego de hacer las respectivas auditorias se procede hacer un plan donde se
gestiona el riesgo de seguridad.

PLAN DE GESTION DE RIESGOS DE SEGURIDAD

A continuación, se realizará un plan de gestión de riesgos donde se genere
acciones que minimice el impacto de las vulnerabilidades y amenazas obtenidas
en la compañía

• Criterios de evaluación de riesgos:

Se identificará la magnitud del riesgo escalándolo de la siguiente forma
 Criterios de impacto:
• Considerar el impacto a la información en términos de confidencialidad,
integridad y disponibilidad, así como los impactos del negocio.
• En esta fase de gestión de riesgos se identificarán los impactos considerando el
nivel de sensibilidad de los activos.
• En este caso entendemos que sensibilidad = impacto.

Criterios de aceptación:
• Se podrían aceptar los riesgos de nivel “Bajo”.
• Si se desea aceptar un riesgo en nivel “Medio o “Alto”, deberá:
• Existir la debida aprobación de la Gerencia.
• Contar con un registro de la justificación.

Organización:

Factores de riesgo:
Análisis y evaluación de riesgos:

• El análisis y evaluación de riesgos (Risk assessment) describe

cuantitativa o cualitativamente los riesgos.
• Esto facilita la gestión de la seguridad de la información, incluyendo la
implementación efectiva de controles y la toma de decisiones.
• Cada organización debe definir su propio enfoque para esta actividad.

Tratamiento de riesgos:
• Una vez concluido el Análisis y Evaluación de Riesgos, la siguiente
actividad es el Tratamiento de Riesgos.
• Existen cuatro opciones de tratamiento de riesgos:

→ Transferir
→ Reducir
→ Aceptar
→ Evitar

• Estas opciones no son mutuamente excluyentes.

Opciones de tratamiento:
• Reducción- Se reduce el riesgo por medio de la selección de controles
para que el riesgo residual sea reevaluado como aceptable.
• Aceptación- Se retiene el riesgo si el nivel de riesgo alcanza el criterio
de aceptación de riesgos y no necesitan implementarse controles
adicionales.
• Evasión-Se evitan los riesgos cuando los riesgos identificados se
consideran demasiado altos, o los costos de implementar otra opción
de tratamiento excede los beneficios. Entonces, se suprime la actividad
planeada o existente o se cambian las conductas bajo las que opera la
actividad.
• Transferencia- Se transfieren los riesgos cuando se toma la decisión de
compartirlos con terceras partes.
• Las opciones de tratamiento de riesgo deben seleccionarse tomando en
consideración:

→ Los resultados del análisis y evaluación de riesgos

→ El costo esperado de la implementación
→ Los beneficios esperados

• Debe considerarse cómo perciben los riesgos las partes afectadas y la

mejor forma de comunicárselos, además de las restricciones
identificados en el establecimiento del contexto y las restricciones de
reducción.
• Una vez definido el tratamiento de riesgos, se deben determinar los
riesgos residuales.
• Esto se logra actualizando o haciendo otra iteración del análisis y
evaluación de riesgos considerando los controles propuestos.
• Si los riesgos residuales no alcanzan los criterios de aceptación
establecidos, se requiere redefinir el tratamiento de riesgos.

Comunicación de Riesgos:

➢ Debe existir comunicación continua entre las partes interesadas.

 • Puede formarse un comité con tomadores de decisiones y otras partes
interesadas donde puedan discutirse los riesgos, su priorización y
tratamiento apropiado y su aceptación.
• Deben existir planes de comunicación de riesgos tanto para
operaciones normales como para situaciones de emergencia.
• La cooperación con Relaciones Publicas, Departamento de
Comunicación, o área similar es importante; en especial en el caso de
la comunicación de crisis

Monitoreo y revisión de riesgos:

 CONCLUSIONES
Los análisis de riesgos nos proveen información acerca de las vulnerabilidades
que posee una organización, siendo este el punto de partida en la toma de
decisiones de la seguridad informática y con estas garantizar el aseguramiento
exitoso de las mismas.
Es necesario involucrar a todas las áreas de la compañía para que trabajen de
acuerdo con las reglas de seguridad establecidas por el departamento de
seguridad, ya que se hace necesario adaptarnos a las soluciones de seguridad y
con esto lograr una sinergia total referente al aseguramiento de la empresa.
 BIBLIOGRAFIAS
• Las tecnologías de la información en la empresa”. Cuaderno de Cinco
Días. Europa MC.
• Equipo “Sistemas microinformáticos y Redes LAN”. Antonio
Vallejo, Ed. Marcombo, 2001.
• Los Servicios de Telecomunicaciones”. J.A. Carballar, Ed. RA-MA, 1993.
• Redes de Área Local”. teleline.terra.es/personal/plnevot/lanwan.htm
• https://access.redhat.com/documentation/es-
es/red_hat_enterprise_linux/6/html/security_guide/sect-
security_guide- common_exploits_and_attacks
• http://www.javeriana.edu.co/biblos/tesis/ingenieria/tesis181.pdf