SlideShare una empresa de Scribd logo

Plan de seguridad para una empresa

Descargar como DOCX, PDF
Victor Hugo Imbaquingo Dueñaas
Victor Hugo Imbaquingo Dueñaas

Plan de seguridad para una empresa. ESPERO QUE LES SIRVA EL DOCUMENTO

Software
1 de 21
INSTITUTO TECNOLÓGICO SUPERIOR “JOSÉ OCHOA LEÓN” PLAN DE SEGURIDAD PARA LA EMPRESA MAOSOFT INTEGRANTES: GALARZA AGUILAR DAYSI PIEDAD IMBAQUINGO DUEÑAS VICTOR HUGO JACHO RIOFRÍO KEVIN DARIO OLMEDO PARRA JENNIFFER JULISSA SOLANO SÁNCHEZ JOHN JAIRO TUTOR: ING. MAYRA SALDAÑA CURSO: Sexto Nocturno “B” PASAJE - EL ORO – ECUADOR 9 DE OCTUBRE DE 2018
Página2 de 21 Contenido 1. RESUMEN .....................................................................................................................3 2. INTRODUCCIÓN .........................................................................................................5 3. MARCO TEORICO......................................................................................................6 3.1. RIESGO ..................................................................................................................6 3.2. VULVERABILIDAD.............................................................................................6 3.3. AMENAZAS...........................................................................................................6 3.4. SEGURIDAD DE INFORMACIÓN ....................................................................7 3.5. IMPACTO ..............................................................................................................8 3.6. SEGURIDAD FISICA ...........................................................................................8 3.7. SEGURIDAD LÓGICA ........................................................................................8 3.8. SEGURIDAD DE LAS REDES ............................................................................8 3.9. ESTÁDARES..........................................................................................................9 3.9.1. NORMA ISO 27001........................................................................................9 3.9.2. NORMA ISO 27002........................................................................................9 3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002 .........9 4. DESARROLLO DEL PLAN DE SEGURIDAD.....................................................9 5. CONCLUSIONES .......................................................................................................19 6. RECOMENDACIONES .............................................................................................20 7. REFERENCIAS BIBLIOGRÁFICAS ......................................................................21
Página3 de 21 1. RESUMEN El presente plan de seguridad tiene como propósito proteger la información de la página web de la Empresa Maosoft para sus promociones y servicios que brinda con la venta de equipos tecnológicos para de esta manera tener una concienciación permanente de mantener segura su información de amenazas que pueden causar el quiebre de la empresa, así mismo por la falta de protección en la página web causa que los atacantes, mayormente conocidos como hackers tengan la posibilidad de infiltrarse en ella para más adelante tomar cualquier información que consideren relevante. En el primer capítulo se da a conocer las vulnerabilidades, amenazas y riesgos de seguridad de la información para formarnos un criterio del por qué es necesario mantener segura la página web ante todos los sucesos imprevistos. En el segundo capítulo se desarrollará el marco teórico del plan estratégico de seguridad de información destacando los pasos a seguir para su elaboración. En el tercer capítulo se realiza una breve descripción de las normas y estándares aplicables para el desarrollo del mismo. En el cuarto capítulo se enfoca en el objetivo del proyecto mediante una evaluación de la seguridad para la Empresa Maosoft. Finalmente se da conocer las conclusiones y recomendaciones para asi lograr minimizar cada uno de los riesgos. Palabras clave: plan de seguridad, vulnerabilidades, riesgos, amenazas. ABSTRACT The purpose of this security plan is to protect the information on the website of the Maosoft Company for its promotions and services provided with the sale of technological equipment in order to have a permanent awareness of keeping your information safe from threats that may cause the breakdown of the company, likewise because of the lack of protection on the website, causes the attackers, mostly known as hackers, to have the possibility of infiltrating it and later on taking any information they consider relevant. In the first chapter, vulnerabilities, threats and information security risks are disclosed to form a criterion for why it is necessary to keep the web page safe in the face of all unforeseen events. In the second chapter, the theoretical framework of the information security strategic plan will be developed, highlighting the steps to be taken to prepare it. In the third chapter
Página4 de 21 there is a brief description of the norms and standards applicable to its development. The fourth chapter focuses on the project objective through a security assessment for the Maosoft Company. Finally, the conclusions and recommendations are made known in order to minimize each risk. Keywords: security plan, vulnerabilities, risks, threats.
Página5 de 21 2. INTRODUCCIÓN La información es hoy en día uno de los activos más importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideración e importancia necesaria dentro de algunas empresas. Antiguamente toda la información era almacenada en papel, por lo que toda su seguridad se limitaba a una seguridad física, actualmente existen multitud de dispositivos en los que se puede almacenar la información, por lo tanto la forma de evitar accesos a la información ha cambiado. El plan de seguridad es un conjunto de acciones destinadas ha orgorganizar la seguridad, preparar, controlar y mitigar los efectos dañinos ante cualquier suceso que se pueda manifestar dentro de las instalaciones con la finalidad de evitar o reducir los posibles daños a los equipos tecnológicos. Con la elabración del plan de contingencia se pretende implanter cada uno de los procesos en relación de la seguridad de la información, para de está manera brindar seguridad a la empresa y asi se evitaría aquellas amenazaas y riesgos a través de la página web en sí implementar la norma ISO 27001 y ISO 27002 aprobó evaluar y lograr disminuir los riesgos. La finalidad del presente documento es pretender ayudar a comprender los sucesos imprevisibles debido a que el plan de seguridad es una herramienta principal para dar una repuesta oportuna y así lograr tomar las medidas de seguridad adecuadas para proteger los sistemas de información importantes soportados por el computador y el personal que labora dentro en la Empresa Maosoft para de esta manera estar prevenido de lo que pueda ocurrir en cualquier momento.
Página6 de 21 3. MARCO TEORICO En este marco teórico identificaremos y definiremos algunos términos asociados con el plan de seguridad de la empresa MAOSOFT: 3.1. RIESGO Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. (Atalait, 2017) 3.2. VULVERABILIDAD Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser aprovechadas. (INFOSEGUR, 2013) 3.3. AMENAZAS En muchas ocasiones se tiende a denominar como virus a cualquier amenaza informática, algo que no es del todo correcto, dado que para cada amenaza hay un nombre específico. En esta entrada vamos a conocer cuáles con los nombres que reciben cada una de ellas y que pueden poner en peligro no solo nuestro ordenador particular sino la red informática de cualquier empresa. (Jasdee, 2015) Tipos de virus informáticos:  Troyano Una amenaza típica. Se trata de un programa malicioso que se camufla como uno normal e inocente. En realidad, oculta archivos programados para tomar el control de un dispositivo.  Ransomware Es un término se ha puesto de moda en los últimos tiempos. Es un programa diseñado para secuestrar un ordenador. El atacante posteriormente pide una cantidad económica a la víctima para liberar estos archivos.  Spyware
Página7 de 21 Se trata de un software malicioso que está programado para espiarnos. Lo normal es que el objetivo sea robar datos personales de la víctima.  Keyloggers Un keylogger tiene como objetivo robar datos. Más concretamente averiguar contraseñas o nombres de usuario. Su funcionamiento consiste en registrar las pulsaciones de teclado que realizamos. Por ejemplo, a la hora de poner nuestro usuario y contraseña en el correo, quedaría guardado.  Adware Es una de las amenazas más molestas para el usuario. Básicamente su función es inundarnos de publicidad intrusiva, las muy conocidas ventanas emergentes, banners a la hora de navegar y barras en el navegador. 3.4. SEGURIDAD DE INFORMACIÓN La seguridad informática es el conjunto de procedimientos, estrategias y herramientas que permiten garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad (Jerez, 2015) Factores que afectan a la seguridad informática - La falta de un manual de seguridad en donde le permita al usuario realizar su consulta para llevar a cabo la tarea asignada. - La falta de planificación y distribución del trabajo, provoca que el mismo usuario aumente el riesgo de un accidente debido a la experiencia laboral información e instrucción sobre el mecanismo de los equipos de producción. (Morales Campoverde & Vintimilla Urgilés, 2014) Cómo evaluar un sistema de seguridad El mejoramiento de la gestión de la seguridad es un elemento de gran importancia para lograr altos niveles de calidad y productividad requeridas en los momentos actuales; estos criterios se pueden aplicar en el campo de seguridad de la siguiente forma:
Página8 de 21 - Efectividad de la seguridad: Medida en que el sistema cumple con los objetivos propuestos en el periodo evaluado relacionado con la prevención de accidentes y mejoramiento de la condición del mismo. - Eficiencia de la seguridad: Medida en la que la seguridad emplea los recursos asignados y estos se revierten en la reducción y eliminación de riesgos del aplicativo. - Eficacia de la seguridad: Medida en la que la seguridad logra con su desempeño satisfacer las expectativas del personal administrativo. (Morales Campoverde & Vintimilla Urgilés, 2014) 3.5. IMPACTO Es la medición y valoración del daño que podría producir a la empresa un incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles. (Farez, 2014) 3.6. SEGURIDAD FISICA Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir procesamiento de información. (Castillo H. , 2012) 3.7. SEGURIDAD LÓGICA Consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. (Valencia, 2018) 3.8. SEGURIDAD DE LAS REDES Es la capacidad de las redes para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes ofrecen o hacen accesibles y que son tan costosos como los ataques intencionados. (Edu.xunta, 2016)
Página9 de 21 3.9. ESTÁDARES 3.9.1. NORMA ISO 27001 Constituye la solución de mejora continua más apropiada para evaluar los diferentes riesgos y establecer las estrategias y controles oportunos que permitirán asegurar la protección y defender la información. (esan, 2016) 3.9.2. NORMA ISO 27002 El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. (ostec, 2007) 3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002 La ISO 27002 define como ejecutar un sistema de tal manera que no distingue entre controles que son aplicables a una organización específica a diferencia de la ISO 27001 crea una estructura de seguridad que exige la realización de una evaluación de riesgo sobre cada control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben aplicar. (Tensor, 2015) 4. DESARROLLO DEL PLAN DE SEGURIDAD El presente plan de seguridad se desarrolla a partir de la necesidad que existe en la Empresa Maosoft la misma que se encuentra ubicada en la ciudad de Pasaje en las calles Eloy Alfaro entre 9 de Octubre y Machala en la cual el propósito es de minimizar los riesgos para poder mantener el control adecuado y llegar a las posibles soluciones. Como toda empresa tienen vulnerabilidades y riesgos es de gran importancia dotar a la misma de seguridad física, lógica y personal con el fin de aplicar políticas que salvaguarden la información. En este caso serán expresadas o detalladas las políticas para prevenir, corregir y para asumir el riesgo:  Medidas para prevenir: Son aplicables para bloquear un evento que cause daño o perdida de la información.  Medidas para corregir: Ayudan enmendar la información que asido alterada por cualquier causa.  Medidas para asumir: Esta se toma en cuenta cuando el riesgo ya ocurrido.
Página10 de 21 Planteó esquema del plan general El esquema estará planteado con enfoque a dar seguridad de la información a la empresa, haciendo referencia a la implantación de una página web informativa y registros de clientes donde promociona productos y servicios enfocados en tecnología de MAOSOFT (empresa).  Seguridad Física 1. Seguridad al servidor web. 2. Seguridad en la red y cables de energía. 3. Seguridad de hardware.  Seguridad Lógica 1. Seguridad a la base de datos 2. Seguridad de acceso 3. Seguridad de software DESCRIPCIÓN DE LOS COMPONENTES DEL PLAN Seguridad física 1. Seguridad del servidor web Los ataques al servidor web son los que deben estar más protegidos debido a que son llamativos para los intrusos de la red; los usuarios dependemos mucho de tecnología por lo tanto la información es guardada en la base de datos por medio del servidor web. Se ve la necesidad de plantear medidas de seguridad para la empresa MAOSOFT. Medidas preventivas  Realización periódica de copias de seguridad de los datos, en especial de los datos críticos, generados en la empresa.  Instalación de UPS para que permita un correcto apagado en caso de cortes de energía eléctrica.  Adecuación del espacio donde se encuentra ubicado el servidor, es decir, que no haya demasiado polvo o humedad. Medidas correctivas
Página11 de 21  Restauración de copias de Backus en el caso de haberse producido una pérdida de datos.  Implementar un servidor espejo que permita tener alojada la información del servidor local. Medidas asumibles  Responsabilizar a una persona para revisión frecuente del correcto funcionamiento del servidor web.  Especificar que herramientas se debe usar para que no vuelva ocurrir perdida de información en el caso de que se encuentre. 2. Seguridad en la red y cables de energía Se deben tomar medidas para que los cables de red y suministros eléctricos no perturben la comunicación con el servidor web y se pueda tener la información disponible de manera inmediata al consultar la información. Medidas preventivas  Contratación de dos líneas exteriores con suministradores de internet para garantizar siempre una conexión mínima a la red.  Control de acceso a la red mediante el empleo de contraseñas.  Implementación de una red interna en la empresa para garantizar que todas las comunicaciones internas y de carácter confidencial no salen de la estructura de la propia empresa. Medidas correctivas  Contratar un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rápida reparación y restablecimiento del servicio en caso de problemas con la línea.  Realizar backups en caso de que la información se pierda por falta de energía o saturación de información en la red.
Página12 de 21 Medidas asumibles  Contar con un generador eléctrico el cual permitirá mantener una diferencia de potencial energía. 3. Seguridad de hardware En el análisis realizado dentro de la empresa se han detectado varios fallos en el correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre todo, debido a la ausencia de un sistema de almacenamiento centralizado, lo que pone en grave riesgo la integridad de la información almacenada dentro de dicho Hardware. Medidas preventivas  Estandarizar todo el pc que tengan acceso al servidor web.  Contratación de servicio técnico que ayude una rápida marcha de los equipos en el caso de fallos. Medidas correctivas  Restauración de copias de Backups en el caso de haberse producido una pérdida de datos.  Mantener personal especializado para que realice todos los procedimientos para volver a poner en funcionamiento el sistema y sus respectivos procesos. Medidas asumibles  El sistema debe estar activo todo el tiempo y en el caso de que falle su tiempo máximo debe ser no mayor de veinticuatro horas. Seguridad Lógica 1. Seguridad a la base de datos
Página13 de 21 La seguridad se logra si se cuenta con un mecanismo que limite a los usuarios a sus vistas personales. Generalmente se puede alterar los datos de la base de datos con la inyección SQL con el fin de burlar la restricción de acceso y dañar la base de datos. Medidas preventivas  Realizar periódicamente cambios a los programas críticos y el sistema operativo con los parches de seguridad más actuales disponibles.  Mantener código que se comunique con la base de datos deberá ser filtrado. Medidas correctivas  Utilizar programas que se especialicen en la seguridad del servidor web y de bases de datos.  Mantener código que se comunique con la base de datos deberá ser filtrado. Medidas asumibles  Los valores asignados a cada campo de una base de datos debe ser la necesaria y se debe validar desde el código de la página web. 2. Seguridad de acceso El control de acceso de centra en la autenticación, autorización de acceso a la información alojada en la base de datos y mediante la autenticación el sistema identifica que información debe mostrar según el usuario que inicio sección, por tal motivo se debe tomar medidas para restringir el acceso a usuarios no identificados. Medidas preventivas  Cada usuario deberá estar asociado a un perfil.  Debe tener permisos para modificar dependiente del usuario y contraseña que ingrese.  La información alojada en el servidor web debe estar disponible dependiendo la petición de cada usuario. Medidas correctivas
Página14 de 21  No se permitirá el acceso a la red, sistemas, aplicaciones y información a ningún usuario que no esté formalmente autorizado. Medidas asumibles  Mantener activo el historial de cada IP y las actividades que realiza, para tener acceso más rápido en el caso de alteraciones de la base de datos 3. Seguridad de software El software es uno de los componentes que más atención necesita debido a los posibles fallos que puede ocasionar en la información. Además, es un activo valioso para la empresa después de la información es por eso que es importante mantenerse actualizado para evitar dicha perdida de la información. Medidas preventivas  Instalación de bases de datos centralizadas.  Generar información para facilitar el almacenamiento, accesibilidad y seguridad de los datos.  Disponer software actualizados y con su licencia respectivas. Medidas correctivas  Mantener copias de seguridad en el caso de haberse producido una pérdida de los datos. Medidas asumibles  Instalar un antivirus ya que de esta manera detectará o eliminará los virus informáticos. Propuestas de estándares, herramientas, protocolos entre otros para proteger la información de la Empresa Maosoft.
Página15 de 21 En base a una breve conclusión se determinó que es importante mantener la seguridad del sistema y la información con la aplicación de estándares, herramientas y protocolos en cuanto a la seguridad física y lógica de la empresa Maosoft: La información debe ser: • Confidencial: Solo permitir el acceso a los usuarios registrados en la base de datos para así evitar la pérdida de información. • Integridad: Se realiza actualizaciones de los datos solo con los usuarios identificados y autorizados para hacer ese proceso. • Disponibilidad: Asegura que la información estará disponible en cualquier momento y sobre todo que se presente la información correcta para cada usuario. • La protección de la información por medio del protocolo: Protocolo de resolución de direcciones (ARP) • Cuando IP necesita una dirección de hardware, ARP primero consulta su caché buscando la dirección de hardware que corresponda con la dirección IP del destino. Si no hay correspondencia en el caché, ARP construye una frame de requerimiento para obtener la dirección de hardware de host destino. (Herramientas de Seguridad, 2014) • En la empresa la información no es controlada por medio de la IP que se realiza la consulta por lo tanto ARP es una solución para dar seguridad a la información que se consulte. La información viaja de manera correcta y segura logrando la integridad de los datos y sobre todo la disponibilidad de la misma. Librería de socket seguros (SSL) • La librería de socket seguros fue introducida originalmente por Roberto seguridad a los visualizados de web mediante la encriptación de conexiones hhtp, sin embargo, con el paso del tiempo ha sido considerada como un medio para dar seguridad a los servicios en general de internet. • En la empresa se aplica SSL porque se desea un detalle completo de la encriptación y autentificación de lo que se realiza en entre el cliente y el servidor por así decirlo. • Herramientas de control de acceso que garantizas la seguridad de la información:
Página16 de 21 Corta Fuegos (Firewall) • Básicamente un firewall es una computadora que se encarga de filtrar el tráfico de la información entre dos redes. El problema no es el controlar a los usuarios de un sistema sino de prevenir accesos no autorizados de hackers que pudieran atacar la seguridad. (Herramientas de Seguridad, 2014) • La empresa requiere lo mejor para la seguridad de la información por tanto se utiliza el firewall para la vigilancia de la red interna. Esto permite que algún intruso de la red sea rechazado y no pueda acceder a la base de datos para actualizar información o prevenir la violación al mismo. Listas de control de acceso (ACL) • Solo los usuarios con derechos apropiados podrán usar las funciones del obejto. Esta característica de los objetos provee seguridad integrada. El acceso a cada objeto es controlado a través del Access Control List (ACL). (Herramientas de Seguridad, 2014) • La empresa contiene cuentas de usuarios y contraseñas y medinate el ACL se permite acceder a los usuarios e a la infromación que requiere, sin antes hacer un chequeo si este cumple con la indicadores de identificación en la base de datos, si es asi permite el acceso. • Estandares y buenas prácticas para aplicar en la empresa: Norma ISO 27002 • Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles. De los cuales se tomará la aplicación de las buenas practicas para la empresa, como gestión de activos, control de acceso, criptografía, seguridad física y Gestión de incidentes de seguridad de la información. ITIL
Página17 de 21 ITIL está compuesto por diferentes procesos de los ciclos de vida del servicio que vienen a ser la definición y el análisis de los requerimientos del negocio a través de la Estrategia del Servicio y el Diseño del Servicio, la migración en el entorno de producción dentro de la Transición del Servicio, la Operación del Servicio y la mejora continua del Servicio. En la empresa se recomienda la aplicación de las buenas prácticas ITIL para establecer políticas de disponibilidad, integridad y confidencialidad de la información. Tomando en cuenta el proceso de gestión de seguridad de la información, gestión de la continuidad de los procesos, gestión de la integridad de los datos y finalmente la gestión de la disponibilidad de la información. Descripción del Caso La empresa MAOSOFT se dedicada a la venta, mantenimiento, configuración e instalación de computadoras, redes y cámaras de vigilancia de equipos tecnológicos, q lleva en funcionamiento desde el año 2014, ubicada en la ciudad de Pasaje en las calles Eloy Alfaro entre 9 de Octubre y Machala. La empresa dispone de personal para llevar los registros de venta y mantenimientos de redes y cámara de vigilancia, estos procesos de registro son realizados de manera manual provocando pérdida de tiempo y aglomeración de archivos físicos. Además, la información física se vuelve vulnerable ya que cualquier persona puede acceder a la visualización y modificación de los mismos. Con la implementación del sistema todo el personal tiene desconocimiento del valor que tiene la información generada por la empresa puede provocar fallos en el proceso normal de las actividades por eso se recomienda utilizar las medidas preventivas y correctivas al momento de manipular la información. Por lo tanto, se recomienda considerar las pautas que se han detallado en el apartado del desarrollo donde se manifiesta las posibles medidas a tomar en caso de fallos y así causar todo vulnerabilidad en la empresa. En la seguridad física se debe hacer hincapié en la realización periódica de copias de seguridad de los datos, en especial de los datos críticos, generados en la empresa, la instalación de UPS para que permita un correcto apagado en caso de cortes de energía
Página18 de 21 eléctrica, mediante la red controlar el acceso a la red mediante el empleo de contraseñas, estandarizar todo el pc que tengan acceso al servidor web, En la seguridad lógica se recomienda la instalación de base de datos centralizada, mantener presente la creación de cuentas de usuario y contraseña, el acceso a la base de datos mediante su usuario especificar los privilegios, mantener código que se comunique con la base de datos deberá ser filtrado, con el fin de logar proteger la información desde todos los puntos de vista.
Página19 de 21 5. CONCLUSIONES El presente desarrollo del plan de seguridad se fijó contar con diversas políticas de seguridad para la Empresa Maosoft ya que de esta manera se logró establecer bajo los lineamientos de las normas ISO 27001 e ISO 27002 la cual son importantes tomar en cuenta en este documento. La Empresa Maosotf debe tener en cuenta que es muy importante contar con un Plan de Seguridad ya que de esta manera tendrían en consideración que los equipos tecnológicos somos vulnerables a sufrir riesgos de todo tipo por muy buena que sea la empresa tampoco esta excenta de sufrir algún incidente.
Página20 de 21 6. RECOMENDACIONES  Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema Operativo, Software de gestión, etc.  Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados durante el periodo desde la última copia de seguridad.  Se recomienda la contratación del personal adecuado para el mantenimiento de los sistemas y los procedimientos de seguridad (al menos una).  Afianzar los objetivos para la salvaguarda de la información.
Página21 de 21 7. REFERENCIAS BIBLIOGRÁFICAS Atalait. (13 de Diciembre de 2017). Riesgos informáticos en una empresa. Obtenido de www.atalait.com: https://www.atalait.com/blog/riesgos-informaticos-en-una-empresa INFOSEGUR. (10 de Noviembre de 2013). Amenazas y fraudes en los sistemas de la información. Obtenido de infosegur.wordpress.comZ https://infosegur.wordpress.com/tag/vulnerabilidades/ Jasdee, K. (06 de abril de 2015). LAS AMENAZAS INFORMÁTICAS MÁS COMUNES EN LA ACTUALIDAD. Obtenido de www.oceano-it.es: https://www.oceano- it.es/news-individual/369/amenazas-informaticas-mas-comunes-en-la-actualidad Jerez, C. (2015). Udlap.mx. Recuperado el 15 de 09 de 2018, de Udlap.mx: http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf Castillo, X. (25 de Octubre de 2015). SEGURIDAD INFORMATICA. Obtenido de seguridadinformatica-umex.blogspot.com: http://seguridadinformatica- umex.blogspot.com/p/1.html Farez, O. (17 de Marzo de 2014). IMPACTO DE LA TECNOLOGIA INFORMATICA EN LOS INDIVIDUOS. Obtenido de www.ecured.cu: https://www.ecured.cu/Impacto_de_la_tecnolog%C3%ADa_inform%C3%A1tica_e n_los_individuos Castillo, H. (5 de Noviembre de 2012). Seguridad Fisica y Logica. Obtenido de seguridad- informatica-1-iutll.blogspot.com: http://seguridad-informatica-1- iutll.blogspot.com/2012/11/seguridad-fisica-y-logica.html Valencia. (21 de 03 de 2018). Universidadviu.com. Recuperado el 20 de 09 de 2019, de Universidadviu.com: https://www.universidadviu.com/conceptos-seguridad-logica- informatica/ Edu.xunta. (2016). Edu.xunta.ga. Recuperado el 08 de 09 de 2018, de Edu.xunta.ga: http://www.edu.xunta.gal/centros/epapualbeiros/system/files/BLOQUE%20I%20SEGURI DAD%20INFORM%C3%81TICA.pdf Herramientas de Seguridad. (2014). catarina.udlap.mx. Obtenido de catarina.udlap.mx: http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/argueta_a_a/capitulo2.pdf SAURA, J. (07 de 2006). UNIVERSIDAD POLITÉCNICA DE CARTAGENA . Obtenido de Implementacion de Seguridad en Entornos Wed: http://repositorio.upct.es/bitstream/handle/10317/233/pfc1918.pdf?sequence=2

Recomendados

Cicyt
CicytCicyt
CicytRoberto Valdes
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argmAraceli González Medina
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432dgoss
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoJhon Jairo Hernandez
 

Recomendados

Cicyt
CicytCicyt
CicytRoberto Valdes
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Dsei acd argm
Dsei acd argmDsei acd argm
Dsei acd argmAraceli González Medina
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432dgoss
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoJhon Jairo Hernandez
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Alex Avila
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informáticaPEDRO OSWALDO BELTRAN CANESSA
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Amenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ipAmenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ipcarlosu_2014
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informaticaMelanyBonilla
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la informaciónDavid Antonio Rapri Mendoza
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJunniorRecord
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticanadialjp
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadGonzalo Espinosa
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras CríticasS2 Grupo · Security Art Work
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAnita Blacio
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionWilliam Matamoros
 
seguridad
seguridadseguridad
seguridadmariavictoria0000
 
Prueba auditoría de sistema
Prueba auditoría de sistemaPrueba auditoría de sistema
Prueba auditoría de sistemaJOSUETAHA
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la redI.E.S Teobaldo Power
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSyenithss
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadDiego Ramos
 

Más contenido relacionado

La actualidad más candente

Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Alex Avila
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Amenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ipAmenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ipcarlosu_2014
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informaticaMelanyBonilla
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJunniorRecord
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticanadialjp
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadGonzalo Espinosa
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAnita Blacio
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionWilliam Matamoros
 
Prueba auditoría de sistema
Prueba auditoría de sistemaPrueba auditoría de sistema
Prueba auditoría de sistemaJOSUETAHA
 

La actualidad más candente (19)

Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informática
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridad
 
Amenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ipAmenazas y vulnerabilidades en redes ip
Amenazas y vulnerabilidades en redes ip
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informatica
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remoto
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Respuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridadRespuesta de la Academia a retos de ciberseguridad
Respuesta de la Academia a retos de ciberseguridad
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Informe seguridad en redes de comunicacion
Informe seguridad en redes de comunicacionInforme seguridad en redes de comunicacion
Informe seguridad en redes de comunicacion
 
seguridad
seguridadseguridad
seguridad
 
Prueba auditoría de sistema
Prueba auditoría de sistemaPrueba auditoría de sistema
Prueba auditoría de sistema
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la red
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 

Similar a Plan de seguridad para una empresa

Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOSyenithss
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadDiego Ramos
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
instalación y craqueo de un antivirus
instalación y craqueo de un antivirusinstalación y craqueo de un antivirus
instalación y craqueo de un antivirusLiliana Criollo
 
Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Jeferson Hr
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 
politica seguridad e informatica
politica seguridad e informatica politica seguridad e informatica
politica seguridad e informatica mayuteamo
 
Seguridad informatica
Seguridad informatica Seguridad informatica
Seguridad informatica lore_vaskez
 
SEGURIDAD TÉCNICA INFORMATICA
SEGURIDAD TÉCNICA INFORMATICASEGURIDAD TÉCNICA INFORMATICA
SEGURIDAD TÉCNICA INFORMATICACecilia_unab
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0Rubii11239
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0rubiuis martin
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0Rubii11239
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfJuanPabloYabetaMaldo
 

Similar a Plan de seguridad para una empresa (20)

Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
DELITOS INFORMATICOS
DELITOS INFORMATICOSDELITOS INFORMATICOS
DELITOS INFORMATICOS
 
La Seguridad Informática en la actualidad
La Seguridad Informática en la actualidadLa Seguridad Informática en la actualidad
La Seguridad Informática en la actualidad
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHG
 
instalación y craqueo de un antivirus
instalación y craqueo de un antivirusinstalación y craqueo de un antivirus
instalación y craqueo de un antivirus
 
Seguridad de la_informaci_n_
Seguridad de la_informaci_n_Seguridad de la_informaci_n_
Seguridad de la_informaci_n_
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
trabajokamita
trabajokamitatrabajokamita
trabajokamita
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
 
politica seguridad e informatica
politica seguridad e informatica politica seguridad e informatica
politica seguridad e informatica
 
Informe agregado
Informe agregadoInforme agregado
Informe agregado
 
Seguridad informatica
Seguridad informatica Seguridad informatica
Seguridad informatica
 
SEGURIDAD TÉCNICA INFORMATICA
SEGURIDAD TÉCNICA INFORMATICASEGURIDAD TÉCNICA INFORMATICA
SEGURIDAD TÉCNICA INFORMATICA
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Extraodinario de tics 1.0
Extraodinario de tics 1.0Extraodinario de tics 1.0
Extraodinario de tics 1.0
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdf
 

Más de Victor Hugo Imbaquingo Dueñaas

PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...
PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...
PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...Victor Hugo Imbaquingo Dueñaas
 
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...Victor Hugo Imbaquingo Dueñaas
 
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICA
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICAIMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICA
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICAVictor Hugo Imbaquingo Dueñaas
 

Más de Victor Hugo Imbaquingo Dueñaas (20)

Memoria Tecnica Desarrollo Pagina Web
Memoria Tecnica Desarrollo Pagina WebMemoria Tecnica Desarrollo Pagina Web
Memoria Tecnica Desarrollo Pagina Web
 
Manual de usuario de un sitio web
Manual de usuario de un sitio webManual de usuario de un sitio web
Manual de usuario de un sitio web
 
QUE ES OFIMATICA
QUE ES OFIMATICAQUE ES OFIMATICA
QUE ES OFIMATICA
 
PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...
PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...
PRODUCCION TECNICA DESARROLLO DE PAGINA WEB, ESPECIALIDADES, CICLOS USANDO PH...
 
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...
PLAN ESTRATÉGICO PARA OPTIMIZACIÓN DEL CONSUMO ELÉCTRICO PROYECTO DE INVESTI...
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMASFUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
 
Plan de contingencia para una empresa informatica
Plan de contingencia para una empresa informaticaPlan de contingencia para una empresa informatica
Plan de contingencia para una empresa informatica
 
Ejemplo de un Paper proyecto maosoft
Ejemplo de un Paper proyecto maosoftEjemplo de un Paper proyecto maosoft
Ejemplo de un Paper proyecto maosoft
 
Manual de usuario para una empresa
Manual de usuario para una empresaManual de usuario para una empresa
Manual de usuario para una empresa
 
PLAN SOCIAL MEDIA MARKETING PARA LA EMPRESA MAOSOFT
PLAN SOCIAL MEDIA MARKETING PARA LA EMPRESA MAOSOFTPLAN SOCIAL MEDIA MARKETING PARA LA EMPRESA MAOSOFT
PLAN SOCIAL MEDIA MARKETING PARA LA EMPRESA MAOSOFT
 
REDES INALAMBRICAS: Wi-Fi & Li-Fi
REDES INALAMBRICAS: Wi-Fi & Li-FiREDES INALAMBRICAS: Wi-Fi & Li-Fi
REDES INALAMBRICAS: Wi-Fi & Li-Fi
 
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICA
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICAIMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICA
IMPORTANCIA DE LA MATEMÁTICA EN LA CIENCIA DE LA INFORMÁTICA
 
Redes Par Trenzados Cables UTP
Redes Par Trenzados Cables UTPRedes Par Trenzados Cables UTP
Redes Par Trenzados Cables UTP
 
Ecuaciones de la circunferencia y parabola.
Ecuaciones de la circunferencia y parabola.Ecuaciones de la circunferencia y parabola.
Ecuaciones de la circunferencia y parabola.
 
Historia de la funcion trigonometrica
Historia de la funcion trigonometricaHistoria de la funcion trigonometrica
Historia de la funcion trigonometrica
 
Razon y proporcion Matematicas
Razon y proporcion MatematicasRazon y proporcion Matematicas
Razon y proporcion Matematicas
 
Geometria del plano
Geometria del planoGeometria del plano
Geometria del plano
 
Funciones trigonometricas
Funciones trigonometricasFunciones trigonometricas
Funciones trigonometricas
 
FISICA mediciones tecnicas y vectores
FISICA mediciones tecnicas y vectoresFISICA mediciones tecnicas y vectores
FISICA mediciones tecnicas y vectores
 
Introduccion a la fisica y como estudiarla
Introduccion a la fisica y como estudiarlaIntroduccion a la fisica y como estudiarla
Introduccion a la fisica y como estudiarla
 

Plan de seguridad para una empresa

  • 1. INSTITUTO TECNOLÓGICO SUPERIOR “JOSÉ OCHOA LEÓN” PLAN DE SEGURIDAD PARA LA EMPRESA MAOSOFT INTEGRANTES: GALARZA AGUILAR DAYSI PIEDAD IMBAQUINGO DUEÑAS VICTOR HUGO JACHO RIOFRÍO KEVIN DARIO OLMEDO PARRA JENNIFFER JULISSA SOLANO SÁNCHEZ JOHN JAIRO TUTOR: ING. MAYRA SALDAÑA CURSO: Sexto Nocturno “B” PASAJE - EL ORO – ECUADOR 9 DE OCTUBRE DE 2018
  • 2. Página2 de 21 Contenido 1. RESUMEN .....................................................................................................................3 2. INTRODUCCIÓN .........................................................................................................5 3. MARCO TEORICO......................................................................................................6 3.1. RIESGO ..................................................................................................................6 3.2. VULVERABILIDAD.............................................................................................6 3.3. AMENAZAS...........................................................................................................6 3.4. SEGURIDAD DE INFORMACIÓN ....................................................................7 3.5. IMPACTO ..............................................................................................................8 3.6. SEGURIDAD FISICA ...........................................................................................8 3.7. SEGURIDAD LÓGICA ........................................................................................8 3.8. SEGURIDAD DE LAS REDES ............................................................................8 3.9. ESTÁDARES..........................................................................................................9 3.9.1. NORMA ISO 27001........................................................................................9 3.9.2. NORMA ISO 27002........................................................................................9 3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002 .........9 4. DESARROLLO DEL PLAN DE SEGURIDAD.....................................................9 5. CONCLUSIONES .......................................................................................................19 6. RECOMENDACIONES .............................................................................................20 7. REFERENCIAS BIBLIOGRÁFICAS ......................................................................21
  • 3. Página3 de 21 1. RESUMEN El presente plan de seguridad tiene como propósito proteger la información de la página web de la Empresa Maosoft para sus promociones y servicios que brinda con la venta de equipos tecnológicos para de esta manera tener una concienciación permanente de mantener segura su información de amenazas que pueden causar el quiebre de la empresa, así mismo por la falta de protección en la página web causa que los atacantes, mayormente conocidos como hackers tengan la posibilidad de infiltrarse en ella para más adelante tomar cualquier información que consideren relevante. En el primer capítulo se da a conocer las vulnerabilidades, amenazas y riesgos de seguridad de la información para formarnos un criterio del por qué es necesario mantener segura la página web ante todos los sucesos imprevistos. En el segundo capítulo se desarrollará el marco teórico del plan estratégico de seguridad de información destacando los pasos a seguir para su elaboración. En el tercer capítulo se realiza una breve descripción de las normas y estándares aplicables para el desarrollo del mismo. En el cuarto capítulo se enfoca en el objetivo del proyecto mediante una evaluación de la seguridad para la Empresa Maosoft. Finalmente se da conocer las conclusiones y recomendaciones para asi lograr minimizar cada uno de los riesgos. Palabras clave: plan de seguridad, vulnerabilidades, riesgos, amenazas. ABSTRACT The purpose of this security plan is to protect the information on the website of the Maosoft Company for its promotions and services provided with the sale of technological equipment in order to have a permanent awareness of keeping your information safe from threats that may cause the breakdown of the company, likewise because of the lack of protection on the website, causes the attackers, mostly known as hackers, to have the possibility of infiltrating it and later on taking any information they consider relevant. In the first chapter, vulnerabilities, threats and information security risks are disclosed to form a criterion for why it is necessary to keep the web page safe in the face of all unforeseen events. In the second chapter, the theoretical framework of the information security strategic plan will be developed, highlighting the steps to be taken to prepare it. In the third chapter
  • 4. Página4 de 21 there is a brief description of the norms and standards applicable to its development. The fourth chapter focuses on the project objective through a security assessment for the Maosoft Company. Finally, the conclusions and recommendations are made known in order to minimize each risk. Keywords: security plan, vulnerabilities, risks, threats.
  • 5. Página5 de 21 2. INTRODUCCIÓN La información es hoy en día uno de los activos más importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideración e importancia necesaria dentro de algunas empresas. Antiguamente toda la información era almacenada en papel, por lo que toda su seguridad se limitaba a una seguridad física, actualmente existen multitud de dispositivos en los que se puede almacenar la información, por lo tanto la forma de evitar accesos a la información ha cambiado. El plan de seguridad es un conjunto de acciones destinadas ha orgorganizar la seguridad, preparar, controlar y mitigar los efectos dañinos ante cualquier suceso que se pueda manifestar dentro de las instalaciones con la finalidad de evitar o reducir los posibles daños a los equipos tecnológicos. Con la elabración del plan de contingencia se pretende implanter cada uno de los procesos en relación de la seguridad de la información, para de está manera brindar seguridad a la empresa y asi se evitaría aquellas amenazaas y riesgos a través de la página web en sí implementar la norma ISO 27001 y ISO 27002 aprobó evaluar y lograr disminuir los riesgos. La finalidad del presente documento es pretender ayudar a comprender los sucesos imprevisibles debido a que el plan de seguridad es una herramienta principal para dar una repuesta oportuna y así lograr tomar las medidas de seguridad adecuadas para proteger los sistemas de información importantes soportados por el computador y el personal que labora dentro en la Empresa Maosoft para de esta manera estar prevenido de lo que pueda ocurrir en cualquier momento.
  • 6. Página6 de 21 3. MARCO TEORICO En este marco teórico identificaremos y definiremos algunos términos asociados con el plan de seguridad de la empresa MAOSOFT: 3.1. RIESGO Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. (Atalait, 2017) 3.2. VULVERABILIDAD Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser aprovechadas. (INFOSEGUR, 2013) 3.3. AMENAZAS En muchas ocasiones se tiende a denominar como virus a cualquier amenaza informática, algo que no es del todo correcto, dado que para cada amenaza hay un nombre específico. En esta entrada vamos a conocer cuáles con los nombres que reciben cada una de ellas y que pueden poner en peligro no solo nuestro ordenador particular sino la red informática de cualquier empresa. (Jasdee, 2015) Tipos de virus informáticos:  Troyano Una amenaza típica. Se trata de un programa malicioso que se camufla como uno normal e inocente. En realidad, oculta archivos programados para tomar el control de un dispositivo.  Ransomware Es un término se ha puesto de moda en los últimos tiempos. Es un programa diseñado para secuestrar un ordenador. El atacante posteriormente pide una cantidad económica a la víctima para liberar estos archivos.  Spyware
  • 7. Página7 de 21 Se trata de un software malicioso que está programado para espiarnos. Lo normal es que el objetivo sea robar datos personales de la víctima.  Keyloggers Un keylogger tiene como objetivo robar datos. Más concretamente averiguar contraseñas o nombres de usuario. Su funcionamiento consiste en registrar las pulsaciones de teclado que realizamos. Por ejemplo, a la hora de poner nuestro usuario y contraseña en el correo, quedaría guardado.  Adware Es una de las amenazas más molestas para el usuario. Básicamente su función es inundarnos de publicidad intrusiva, las muy conocidas ventanas emergentes, banners a la hora de navegar y barras en el navegador. 3.4. SEGURIDAD DE INFORMACIÓN La seguridad informática es el conjunto de procedimientos, estrategias y herramientas que permiten garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad (Jerez, 2015) Factores que afectan a la seguridad informática - La falta de un manual de seguridad en donde le permita al usuario realizar su consulta para llevar a cabo la tarea asignada. - La falta de planificación y distribución del trabajo, provoca que el mismo usuario aumente el riesgo de un accidente debido a la experiencia laboral información e instrucción sobre el mecanismo de los equipos de producción. (Morales Campoverde & Vintimilla Urgilés, 2014) Cómo evaluar un sistema de seguridad El mejoramiento de la gestión de la seguridad es un elemento de gran importancia para lograr altos niveles de calidad y productividad requeridas en los momentos actuales; estos criterios se pueden aplicar en el campo de seguridad de la siguiente forma:
  • 8. Página8 de 21 - Efectividad de la seguridad: Medida en que el sistema cumple con los objetivos propuestos en el periodo evaluado relacionado con la prevención de accidentes y mejoramiento de la condición del mismo. - Eficiencia de la seguridad: Medida en la que la seguridad emplea los recursos asignados y estos se revierten en la reducción y eliminación de riesgos del aplicativo. - Eficacia de la seguridad: Medida en la que la seguridad logra con su desempeño satisfacer las expectativas del personal administrativo. (Morales Campoverde & Vintimilla Urgilés, 2014) 3.5. IMPACTO Es la medición y valoración del daño que podría producir a la empresa un incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles. (Farez, 2014) 3.6. SEGURIDAD FISICA Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir procesamiento de información. (Castillo H. , 2012) 3.7. SEGURIDAD LÓGICA Consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. (Valencia, 2018) 3.8. SEGURIDAD DE LAS REDES Es la capacidad de las redes para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes ofrecen o hacen accesibles y que son tan costosos como los ataques intencionados. (Edu.xunta, 2016)
  • 9. Página9 de 21 3.9. ESTÁDARES 3.9.1. NORMA ISO 27001 Constituye la solución de mejora continua más apropiada para evaluar los diferentes riesgos y establecer las estrategias y controles oportunos que permitirán asegurar la protección y defender la información. (esan, 2016) 3.9.2. NORMA ISO 27002 El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. (ostec, 2007) 3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002 La ISO 27002 define como ejecutar un sistema de tal manera que no distingue entre controles que son aplicables a una organización específica a diferencia de la ISO 27001 crea una estructura de seguridad que exige la realización de una evaluación de riesgo sobre cada control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben aplicar. (Tensor, 2015) 4. DESARROLLO DEL PLAN DE SEGURIDAD El presente plan de seguridad se desarrolla a partir de la necesidad que existe en la Empresa Maosoft la misma que se encuentra ubicada en la ciudad de Pasaje en las calles Eloy Alfaro entre 9 de Octubre y Machala en la cual el propósito es de minimizar los riesgos para poder mantener el control adecuado y llegar a las posibles soluciones. Como toda empresa tienen vulnerabilidades y riesgos es de gran importancia dotar a la misma de seguridad física, lógica y personal con el fin de aplicar políticas que salvaguarden la información. En este caso serán expresadas o detalladas las políticas para prevenir, corregir y para asumir el riesgo:  Medidas para prevenir: Son aplicables para bloquear un evento que cause daño o perdida de la información.  Medidas para corregir: Ayudan enmendar la información que asido alterada por cualquier causa.  Medidas para asumir: Esta se toma en cuenta cuando el riesgo ya ocurrido.
  • 10. Página10 de 21 Planteó esquema del plan general El esquema estará planteado con enfoque a dar seguridad de la información a la empresa, haciendo referencia a la implantación de una página web informativa y registros de clientes donde promociona productos y servicios enfocados en tecnología de MAOSOFT (empresa).  Seguridad Física 1. Seguridad al servidor web. 2. Seguridad en la red y cables de energía. 3. Seguridad de hardware.  Seguridad Lógica 1. Seguridad a la base de datos 2. Seguridad de acceso 3. Seguridad de software DESCRIPCIÓN DE LOS COMPONENTES DEL PLAN Seguridad física 1. Seguridad del servidor web Los ataques al servidor web son los que deben estar más protegidos debido a que son llamativos para los intrusos de la red; los usuarios dependemos mucho de tecnología por lo tanto la información es guardada en la base de datos por medio del servidor web. Se ve la necesidad de plantear medidas de seguridad para la empresa MAOSOFT. Medidas preventivas  Realización periódica de copias de seguridad de los datos, en especial de los datos críticos, generados en la empresa.  Instalación de UPS para que permita un correcto apagado en caso de cortes de energía eléctrica.  Adecuación del espacio donde se encuentra ubicado el servidor, es decir, que no haya demasiado polvo o humedad. Medidas correctivas
  • 11. Página11 de 21  Restauración de copias de Backus en el caso de haberse producido una pérdida de datos.  Implementar un servidor espejo que permita tener alojada la información del servidor local. Medidas asumibles  Responsabilizar a una persona para revisión frecuente del correcto funcionamiento del servidor web.  Especificar que herramientas se debe usar para que no vuelva ocurrir perdida de información en el caso de que se encuentre. 2. Seguridad en la red y cables de energía Se deben tomar medidas para que los cables de red y suministros eléctricos no perturben la comunicación con el servidor web y se pueda tener la información disponible de manera inmediata al consultar la información. Medidas preventivas  Contratación de dos líneas exteriores con suministradores de internet para garantizar siempre una conexión mínima a la red.  Control de acceso a la red mediante el empleo de contraseñas.  Implementación de una red interna en la empresa para garantizar que todas las comunicaciones internas y de carácter confidencial no salen de la estructura de la propia empresa. Medidas correctivas  Contratar un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rápida reparación y restablecimiento del servicio en caso de problemas con la línea.  Realizar backups en caso de que la información se pierda por falta de energía o saturación de información en la red.
  • 12. Página12 de 21 Medidas asumibles  Contar con un generador eléctrico el cual permitirá mantener una diferencia de potencial energía. 3. Seguridad de hardware En el análisis realizado dentro de la empresa se han detectado varios fallos en el correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre todo, debido a la ausencia de un sistema de almacenamiento centralizado, lo que pone en grave riesgo la integridad de la información almacenada dentro de dicho Hardware. Medidas preventivas  Estandarizar todo el pc que tengan acceso al servidor web.  Contratación de servicio técnico que ayude una rápida marcha de los equipos en el caso de fallos. Medidas correctivas  Restauración de copias de Backups en el caso de haberse producido una pérdida de datos.  Mantener personal especializado para que realice todos los procedimientos para volver a poner en funcionamiento el sistema y sus respectivos procesos. Medidas asumibles  El sistema debe estar activo todo el tiempo y en el caso de que falle su tiempo máximo debe ser no mayor de veinticuatro horas. Seguridad Lógica 1. Seguridad a la base de datos
  • 13. Página13 de 21 La seguridad se logra si se cuenta con un mecanismo que limite a los usuarios a sus vistas personales. Generalmente se puede alterar los datos de la base de datos con la inyección SQL con el fin de burlar la restricción de acceso y dañar la base de datos. Medidas preventivas  Realizar periódicamente cambios a los programas críticos y el sistema operativo con los parches de seguridad más actuales disponibles.  Mantener código que se comunique con la base de datos deberá ser filtrado. Medidas correctivas  Utilizar programas que se especialicen en la seguridad del servidor web y de bases de datos.  Mantener código que se comunique con la base de datos deberá ser filtrado. Medidas asumibles  Los valores asignados a cada campo de una base de datos debe ser la necesaria y se debe validar desde el código de la página web. 2. Seguridad de acceso El control de acceso de centra en la autenticación, autorización de acceso a la información alojada en la base de datos y mediante la autenticación el sistema identifica que información debe mostrar según el usuario que inicio sección, por tal motivo se debe tomar medidas para restringir el acceso a usuarios no identificados. Medidas preventivas  Cada usuario deberá estar asociado a un perfil.  Debe tener permisos para modificar dependiente del usuario y contraseña que ingrese.  La información alojada en el servidor web debe estar disponible dependiendo la petición de cada usuario. Medidas correctivas
  • 14. Página14 de 21  No se permitirá el acceso a la red, sistemas, aplicaciones y información a ningún usuario que no esté formalmente autorizado. Medidas asumibles  Mantener activo el historial de cada IP y las actividades que realiza, para tener acceso más rápido en el caso de alteraciones de la base de datos 3. Seguridad de software El software es uno de los componentes que más atención necesita debido a los posibles fallos que puede ocasionar en la información. Además, es un activo valioso para la empresa después de la información es por eso que es importante mantenerse actualizado para evitar dicha perdida de la información. Medidas preventivas  Instalación de bases de datos centralizadas.  Generar información para facilitar el almacenamiento, accesibilidad y seguridad de los datos.  Disponer software actualizados y con su licencia respectivas. Medidas correctivas  Mantener copias de seguridad en el caso de haberse producido una pérdida de los datos. Medidas asumibles  Instalar un antivirus ya que de esta manera detectará o eliminará los virus informáticos. Propuestas de estándares, herramientas, protocolos entre otros para proteger la información de la Empresa Maosoft.
  • 15. Página15 de 21 En base a una breve conclusión se determinó que es importante mantener la seguridad del sistema y la información con la aplicación de estándares, herramientas y protocolos en cuanto a la seguridad física y lógica de la empresa Maosoft: La información debe ser: • Confidencial: Solo permitir el acceso a los usuarios registrados en la base de datos para así evitar la pérdida de información. • Integridad: Se realiza actualizaciones de los datos solo con los usuarios identificados y autorizados para hacer ese proceso. • Disponibilidad: Asegura que la información estará disponible en cualquier momento y sobre todo que se presente la información correcta para cada usuario. • La protección de la información por medio del protocolo: Protocolo de resolución de direcciones (ARP) • Cuando IP necesita una dirección de hardware, ARP primero consulta su caché buscando la dirección de hardware que corresponda con la dirección IP del destino. Si no hay correspondencia en el caché, ARP construye una frame de requerimiento para obtener la dirección de hardware de host destino. (Herramientas de Seguridad, 2014) • En la empresa la información no es controlada por medio de la IP que se realiza la consulta por lo tanto ARP es una solución para dar seguridad a la información que se consulte. La información viaja de manera correcta y segura logrando la integridad de los datos y sobre todo la disponibilidad de la misma. Librería de socket seguros (SSL) • La librería de socket seguros fue introducida originalmente por Roberto seguridad a los visualizados de web mediante la encriptación de conexiones hhtp, sin embargo, con el paso del tiempo ha sido considerada como un medio para dar seguridad a los servicios en general de internet. • En la empresa se aplica SSL porque se desea un detalle completo de la encriptación y autentificación de lo que se realiza en entre el cliente y el servidor por así decirlo. • Herramientas de control de acceso que garantizas la seguridad de la información:
  • 16. Página16 de 21 Corta Fuegos (Firewall) • Básicamente un firewall es una computadora que se encarga de filtrar el tráfico de la información entre dos redes. El problema no es el controlar a los usuarios de un sistema sino de prevenir accesos no autorizados de hackers que pudieran atacar la seguridad. (Herramientas de Seguridad, 2014) • La empresa requiere lo mejor para la seguridad de la información por tanto se utiliza el firewall para la vigilancia de la red interna. Esto permite que algún intruso de la red sea rechazado y no pueda acceder a la base de datos para actualizar información o prevenir la violación al mismo. Listas de control de acceso (ACL) • Solo los usuarios con derechos apropiados podrán usar las funciones del obejto. Esta característica de los objetos provee seguridad integrada. El acceso a cada objeto es controlado a través del Access Control List (ACL). (Herramientas de Seguridad, 2014) • La empresa contiene cuentas de usuarios y contraseñas y medinate el ACL se permite acceder a los usuarios e a la infromación que requiere, sin antes hacer un chequeo si este cumple con la indicadores de identificación en la base de datos, si es asi permite el acceso. • Estandares y buenas prácticas para aplicar en la empresa: Norma ISO 27002 • Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles. De los cuales se tomará la aplicación de las buenas practicas para la empresa, como gestión de activos, control de acceso, criptografía, seguridad física y Gestión de incidentes de seguridad de la información. ITIL
  • 17. Página17 de 21 ITIL está compuesto por diferentes procesos de los ciclos de vida del servicio que vienen a ser la definición y el análisis de los requerimientos del negocio a través de la Estrategia del Servicio y el Diseño del Servicio, la migración en el entorno de producción dentro de la Transición del Servicio, la Operación del Servicio y la mejora continua del Servicio. En la empresa se recomienda la aplicación de las buenas prácticas ITIL para establecer políticas de disponibilidad, integridad y confidencialidad de la información. Tomando en cuenta el proceso de gestión de seguridad de la información, gestión de la continuidad de los procesos, gestión de la integridad de los datos y finalmente la gestión de la disponibilidad de la información. Descripción del Caso La empresa MAOSOFT se dedicada a la venta, mantenimiento, configuración e instalación de computadoras, redes y cámaras de vigilancia de equipos tecnológicos, q lleva en funcionamiento desde el año 2014, ubicada en la ciudad de Pasaje en las calles Eloy Alfaro entre 9 de Octubre y Machala. La empresa dispone de personal para llevar los registros de venta y mantenimientos de redes y cámara de vigilancia, estos procesos de registro son realizados de manera manual provocando pérdida de tiempo y aglomeración de archivos físicos. Además, la información física se vuelve vulnerable ya que cualquier persona puede acceder a la visualización y modificación de los mismos. Con la implementación del sistema todo el personal tiene desconocimiento del valor que tiene la información generada por la empresa puede provocar fallos en el proceso normal de las actividades por eso se recomienda utilizar las medidas preventivas y correctivas al momento de manipular la información. Por lo tanto, se recomienda considerar las pautas que se han detallado en el apartado del desarrollo donde se manifiesta las posibles medidas a tomar en caso de fallos y así causar todo vulnerabilidad en la empresa. En la seguridad física se debe hacer hincapié en la realización periódica de copias de seguridad de los datos, en especial de los datos críticos, generados en la empresa, la instalación de UPS para que permita un correcto apagado en caso de cortes de energía
  • 18. Página18 de 21 eléctrica, mediante la red controlar el acceso a la red mediante el empleo de contraseñas, estandarizar todo el pc que tengan acceso al servidor web, En la seguridad lógica se recomienda la instalación de base de datos centralizada, mantener presente la creación de cuentas de usuario y contraseña, el acceso a la base de datos mediante su usuario especificar los privilegios, mantener código que se comunique con la base de datos deberá ser filtrado, con el fin de logar proteger la información desde todos los puntos de vista.
  • 19. Página19 de 21 5. CONCLUSIONES El presente desarrollo del plan de seguridad se fijó contar con diversas políticas de seguridad para la Empresa Maosoft ya que de esta manera se logró establecer bajo los lineamientos de las normas ISO 27001 e ISO 27002 la cual son importantes tomar en cuenta en este documento. La Empresa Maosotf debe tener en cuenta que es muy importante contar con un Plan de Seguridad ya que de esta manera tendrían en consideración que los equipos tecnológicos somos vulnerables a sufrir riesgos de todo tipo por muy buena que sea la empresa tampoco esta excenta de sufrir algún incidente.
  • 20. Página20 de 21 6. RECOMENDACIONES  Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema Operativo, Software de gestión, etc.  Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados durante el periodo desde la última copia de seguridad.  Se recomienda la contratación del personal adecuado para el mantenimiento de los sistemas y los procedimientos de seguridad (al menos una).  Afianzar los objetivos para la salvaguarda de la información.
  • 21. Página21 de 21 7. REFERENCIAS BIBLIOGRÁFICAS Atalait. (13 de Diciembre de 2017). Riesgos informáticos en una empresa. Obtenido de www.atalait.com: https://www.atalait.com/blog/riesgos-informaticos-en-una-empresa INFOSEGUR. (10 de Noviembre de 2013). Amenazas y fraudes en los sistemas de la información. Obtenido de infosegur.wordpress.comZ https://infosegur.wordpress.com/tag/vulnerabilidades/ Jasdee, K. (06 de abril de 2015). LAS AMENAZAS INFORMÁTICAS MÁS COMUNES EN LA ACTUALIDAD. Obtenido de www.oceano-it.es: https://www.oceano- it.es/news-individual/369/amenazas-informaticas-mas-comunes-en-la-actualidad Jerez, C. (2015). Udlap.mx. Recuperado el 15 de 09 de 2018, de Udlap.mx: http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf Castillo, X. (25 de Octubre de 2015). SEGURIDAD INFORMATICA. Obtenido de seguridadinformatica-umex.blogspot.com: http://seguridadinformatica- umex.blogspot.com/p/1.html Farez, O. (17 de Marzo de 2014). IMPACTO DE LA TECNOLOGIA INFORMATICA EN LOS INDIVIDUOS. Obtenido de www.ecured.cu: https://www.ecured.cu/Impacto_de_la_tecnolog%C3%ADa_inform%C3%A1tica_e n_los_individuos Castillo, H. (5 de Noviembre de 2012). Seguridad Fisica y Logica. Obtenido de seguridad- informatica-1-iutll.blogspot.com: http://seguridad-informatica-1- iutll.blogspot.com/2012/11/seguridad-fisica-y-logica.html Valencia. (21 de 03 de 2018). Universidadviu.com. Recuperado el 20 de 09 de 2019, de Universidadviu.com: https://www.universidadviu.com/conceptos-seguridad-logica- informatica/ Edu.xunta. (2016). Edu.xunta.ga. Recuperado el 08 de 09 de 2018, de Edu.xunta.ga: http://www.edu.xunta.gal/centros/epapualbeiros/system/files/BLOQUE%20I%20SEGURI DAD%20INFORM%C3%81TICA.pdf Herramientas de Seguridad. (2014). catarina.udlap.mx. Obtenido de catarina.udlap.mx: http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/argueta_a_a/capitulo2.pdf SAURA, J. (07 de 2006). UNIVERSIDAD POLITÉCNICA DE CARTAGENA . Obtenido de Implementacion de Seguridad en Entornos Wed: http://repositorio.upct.es/bitstream/handle/10317/233/pfc1918.pdf?sequence=2