Beruflich Dokumente
Kultur Dokumente
PRESENTADO POR:
WILMER ANDRES AROCHA RICO
JOSÉ EDUARDO HERNÁNDEZ POLANCO
PRESENTADO A:
ING. ROBERT ANTONIO GUZMAN CAVADIA
Se cataloga la información como uno de los activos más relevantes dentro de una
organización en la actualidad, debido a los intercambios que se realizan a través
de la red conlleva a poner el alto riesgo la seguridad confidencialidad, integridad y
disponibilidad de la Información. Conocemos a diario de casos donde archivos de
las organizaciones han sido deteriorados por falta de la implementación y
aplicación de un buen sistema de gestión de seguridad informática vigilado por
auditorias en cada una de las áreas que haga uso de las TIC. Por esta razón es
nuestro deber como profesionales velar por controlar el tratamiento de la
información en las organizaciones, partiendo con hacer pedagogía en los
empleados. Con el uso de herramientas tecnológicas, personal capacitado y un
manejo correcto de los procesos atendidos en garantizar la protección del buen
funcionamiento de la empresa y por supuesto cada uno de sus activos partiendo
del activo humano.
IMPRESORAS
Realizamos la auditoria a las impresoras y evidenciamos los siguientes riegos.
• Fuga de Información por impresión de información confidencial
realizada por usuarios no autorizados.
• Aumento de Costos en insumos por mal uso de la impresión.
• No existe restricción para enviar ordenes de impresión a través de la red.
Por el lugar de ubicación de algunas impresoras cualquier persona sin ninguna
autorización puede hacer uso de ella puesto que se encuentran ubicadas en
lugares fuera de vigilancia, lo que promete un riesgo al activo (Información). A
continuación, podemos observar la matriz de riesgo su calificación,
observaciones, causas, probabilidades y consecuencias de estos como Pérdida
económica, Pérdida de Imagen, etc.
En la segunda imagen podemos observar la matriz de calificación, evaluación y
respuesta a los riesgos. Se recomienda
• El uso de impresión por usuarios con contraseñas determinados por
direcciones IP con privilegios para enviar ordenes de impresión.
• Deshabilitar el uso compartido de archivos e impresoras en equipos
que no requieran tales privilegios.
• Hacer uso de estos dispositivos solo con fines útiles a la empresa.
EQUIPOS DE CÓMPUTO
• Suplantación de IP:
La suplantación es bastante difícil ya que el agresor debe predecir los números
de secuencia TCP/IP para coordinar la conexión a sistemas de destino, aunque
hay varias herramientas disponibles para que los atacantes realicen dicha
agresión.
Amenazas Posibles
• Arquitecturas inseguras:
Una red mal configurada es un punto de entrada a usuarios no autorizados.
Abandonar un sitio confiable y abrir una red local vulnerable a la Internet que es
altamente insegura, es como si dejara la puerta entreabierta en un vecindario de alta
delincuencia organizada no ocurre nada por un tiempo, pero al final alguien
aprovecha la oportunidad. Esta es una amenaza latente en cualquier red
informática.
• Redes de difusión:
Esta suele ser otra amenaza común y hace referencia a los protocolos de
resolución de direcciones como ARP o enmascaramiento de direcciones de control
de acceso de medios MAC y se debe a que Los administradores de sistemas
suelen no dar importancia al hardware de red en sus esquemas de seguridad es
decir, cada vez que un nodo transmite datos a través de la red a un nodo receptor,
el concentrador o enrutador envía una transmisión de paquetes de datos hasta que
el nodo recipiente reciba y procese los datos.
Matriz de riesgo
Luego de hacer las respectivas auditorias se procede hacer un plan donde se
gestiona el riesgo de seguridad.
Criterios de aceptación:
• Se podrían aceptar los riesgos de nivel “Bajo”.
• Si se desea aceptar un riesgo en nivel “Medio o “Alto”, deberá:
• Existir la debida aprobación de la Gerencia.
• Contar con un registro de la justificación.
Organización:
Factores de riesgo:
Análisis y evaluación de riesgos:
Tratamiento de riesgos:
• Una vez concluido el Análisis y Evaluación de Riesgos, la siguiente
actividad es el Tratamiento de Riesgos.
• Existen cuatro opciones de tratamiento de riesgos:
→ Transferir
→ Reducir
→ Aceptar
→ Evitar
Comunicación de Riesgos: