1. INSTITUTO TECNOLÓGICO SUPERIOR
“JOSÉ OCHOA LEÓN”
PLAN DE SEGURIDAD PARA LA EMPRESA
MAOSOFT
INTEGRANTES:
GALARZA AGUILAR DAYSI PIEDAD
IMBAQUINGO DUEÑAS VICTOR HUGO
JACHO RIOFRÍO KEVIN DARIO
OLMEDO PARRA JENNIFFER JULISSA
SOLANO SÁNCHEZ JOHN JAIRO
TUTOR:
ING. MAYRA SALDAÑA
CURSO:
Sexto Nocturno “B”
PASAJE - EL ORO – ECUADOR
9 DE OCTUBRE DE 2018
2. Página2 de 21
Contenido
1. RESUMEN .....................................................................................................................3
2. INTRODUCCIÓN .........................................................................................................5
3. MARCO TEORICO......................................................................................................6
3.1. RIESGO ..................................................................................................................6
3.2. VULVERABILIDAD.............................................................................................6
3.3. AMENAZAS...........................................................................................................6
3.4. SEGURIDAD DE INFORMACIÓN ....................................................................7
3.5. IMPACTO ..............................................................................................................8
3.6. SEGURIDAD FISICA ...........................................................................................8
3.7. SEGURIDAD LÓGICA ........................................................................................8
3.8. SEGURIDAD DE LAS REDES ............................................................................8
3.9. ESTÁDARES..........................................................................................................9
3.9.1. NORMA ISO 27001........................................................................................9
3.9.2. NORMA ISO 27002........................................................................................9
3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002 .........9
4. DESARROLLO DEL PLAN DE SEGURIDAD.....................................................9
5. CONCLUSIONES .......................................................................................................19
6. RECOMENDACIONES .............................................................................................20
7. REFERENCIAS BIBLIOGRÁFICAS ......................................................................21
3. Página3 de 21
1. RESUMEN
El presente plan de seguridad tiene como propósito proteger la información de la página web
de la Empresa Maosoft para sus promociones y servicios que brinda con la venta de equipos
tecnológicos para de esta manera tener una concienciación permanente de mantener segura
su información de amenazas que pueden causar el quiebre de la empresa, así mismo por la
falta de protección en la página web causa que los atacantes, mayormente conocidos como
hackers tengan la posibilidad de infiltrarse en ella para más adelante tomar cualquier
información que consideren relevante.
En el primer capítulo se da a conocer las vulnerabilidades, amenazas y riesgos de seguridad
de la información para formarnos un criterio del por qué es necesario mantener segura la
página web ante todos los sucesos imprevistos. En el segundo capítulo se desarrollará el
marco teórico del plan estratégico de seguridad de información destacando los pasos a seguir
para su elaboración. En el tercer capítulo se realiza una breve descripción de las normas y
estándares aplicables para el desarrollo del mismo. En el cuarto capítulo se enfoca en el
objetivo del proyecto mediante una evaluación de la seguridad para la Empresa Maosoft.
Finalmente se da conocer las conclusiones y recomendaciones para asi lograr minimizar cada
uno de los riesgos.
Palabras clave: plan de seguridad, vulnerabilidades, riesgos, amenazas.
ABSTRACT
The purpose of this security plan is to protect the information on the website of the Maosoft
Company for its promotions and services provided with the sale of technological equipment
in order to have a permanent awareness of keeping your information safe from threats that
may cause the breakdown of the company, likewise because of the lack of protection on the
website, causes the attackers, mostly known as hackers, to have the possibility of infiltrating
it and later on taking any information they consider relevant.
In the first chapter, vulnerabilities, threats and information security risks are disclosed to
form a criterion for why it is necessary to keep the web page safe in the face of all unforeseen
events. In the second chapter, the theoretical framework of the information security strategic
plan will be developed, highlighting the steps to be taken to prepare it. In the third chapter
4. Página4 de 21
there is a brief description of the norms and standards applicable to its development. The
fourth chapter focuses on the project objective through a security assessment for the Maosoft
Company. Finally, the conclusions and recommendations are made known in order to
minimize each risk.
Keywords: security plan, vulnerabilities, risks, threats.
5. Página5 de 21
2. INTRODUCCIÓN
La información es hoy en día uno de los activos más importantes con los que cuenta cualquier
empresa; un activo que no siempre tiene la consideración e importancia necesaria dentro de
algunas empresas. Antiguamente toda la información era almacenada en papel, por lo que
toda su seguridad se limitaba a una seguridad física, actualmente existen multitud de
dispositivos en los que se puede almacenar la información, por lo tanto la forma de evitar
accesos a la información ha cambiado.
El plan de seguridad es un conjunto de acciones destinadas ha orgorganizar la seguridad,
preparar, controlar y mitigar los efectos dañinos ante cualquier suceso que se pueda
manifestar dentro de las instalaciones con la finalidad de evitar o reducir los posibles daños
a los equipos tecnológicos.
Con la elabración del plan de contingencia se pretende implanter cada uno de los procesos
en relación de la seguridad de la información, para de está manera brindar seguridad a la
empresa y asi se evitaría aquellas amenazaas y riesgos a través de la página web en sí
implementar la norma ISO 27001 y ISO 27002 aprobó evaluar y lograr disminuir los riesgos.
La finalidad del presente documento es pretender ayudar a comprender los sucesos
imprevisibles debido a que el plan de seguridad es una herramienta principal para dar una
repuesta oportuna y así lograr tomar las medidas de seguridad adecuadas para proteger los
sistemas de información importantes soportados por el computador y el personal que labora
dentro en la Empresa Maosoft para de esta manera estar prevenido de lo que pueda ocurrir
en cualquier momento.
6. Página6 de 21
3. MARCO TEORICO
En este marco teórico identificaremos y definiremos algunos términos asociados con el plan
de seguridad de la empresa MAOSOFT:
3.1. RIESGO
Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades
y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir,
transferir o evitar la ocurrencia del riesgo. (Atalait, 2017)
3.2. VULVERABILIDAD
Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que
sea tan importante tenerlas en cuenta; en cualquier momento podrían ser aprovechadas.
(INFOSEGUR, 2013)
3.3. AMENAZAS
En muchas ocasiones se tiende a denominar como virus a cualquier amenaza informática,
algo que no es del todo correcto, dado que para cada amenaza hay un nombre específico. En
esta entrada vamos a conocer cuáles con los nombres que reciben cada una de ellas y que
pueden poner en peligro no solo nuestro ordenador particular sino la red informática de
cualquier empresa. (Jasdee, 2015)
Tipos de virus informáticos:
Troyano
Una amenaza típica. Se trata de un programa malicioso que se camufla como uno normal e
inocente. En realidad, oculta archivos programados para tomar el control de un dispositivo.
Ransomware
Es un término se ha puesto de moda en los últimos tiempos. Es un programa diseñado
para secuestrar un ordenador. El atacante posteriormente pide una cantidad económica a la
víctima para liberar estos archivos.
Spyware
7. Página7 de 21
Se trata de un software malicioso que está programado para espiarnos. Lo normal es que el
objetivo sea robar datos personales de la víctima.
Keyloggers
Un keylogger tiene como objetivo robar datos. Más concretamente averiguar contraseñas o
nombres de usuario. Su funcionamiento consiste en registrar las pulsaciones de teclado que
realizamos. Por ejemplo, a la hora de poner nuestro usuario y contraseña en el correo,
quedaría guardado.
Adware
Es una de las amenazas más molestas para el usuario. Básicamente su función es inundarnos
de publicidad intrusiva, las muy conocidas ventanas emergentes, banners a la hora de navegar
y barras en el navegador.
3.4. SEGURIDAD DE INFORMACIÓN
La seguridad informática es el conjunto de procedimientos, estrategias y herramientas que
permiten garantizar la integridad, la disponibilidad y la confidencialidad de la información
de una entidad (Jerez, 2015)
Factores que afectan a la seguridad informática
- La falta de un manual de seguridad en donde le permita al usuario realizar su consulta
para llevar a cabo la tarea asignada.
- La falta de planificación y distribución del trabajo, provoca que el mismo usuario
aumente el riesgo de un accidente debido a la experiencia laboral información e
instrucción sobre el mecanismo de los equipos de producción. (Morales Campoverde &
Vintimilla Urgilés, 2014)
Cómo evaluar un sistema de seguridad
El mejoramiento de la gestión de la seguridad es un elemento de gran importancia para lograr
altos niveles de calidad y productividad requeridas en los momentos actuales; estos criterios
se pueden aplicar en el campo de seguridad de la siguiente forma:
8. Página8 de 21
- Efectividad de la seguridad: Medida en que el sistema cumple con los objetivos
propuestos en el periodo evaluado relacionado con la prevención de accidentes y
mejoramiento de la condición del mismo.
- Eficiencia de la seguridad: Medida en la que la seguridad emplea los recursos asignados
y estos se revierten en la reducción y eliminación de riesgos del aplicativo.
- Eficacia de la seguridad: Medida en la que la seguridad logra con su desempeño
satisfacer las expectativas del personal administrativo. (Morales Campoverde &
Vintimilla Urgilés, 2014)
3.5. IMPACTO
Es la medición y valoración del daño que podría producir a la empresa un incidente de
seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños
tangibles y la estimación, siempre subjetiva, de los daños intangibles. (Farez, 2014)
3.6. SEGURIDAD FISICA
Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de
prevención ante amenazas a los recursos e información confidencial que puedan interrumpir
procesamiento de información. (Castillo H. , 2012)
3.7. SEGURIDAD LÓGICA
Consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el uso
de software, la protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información. (Valencia, 2018)
3.8. SEGURIDAD DE LAS REDES
Es la capacidad de las redes para resistir, con un determinado nivel de confianza, todos los
accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los
correspondientes servicios que dichas redes ofrecen o hacen accesibles y que son tan costosos
como los ataques intencionados. (Edu.xunta, 2016)
9. Página9 de 21
3.9. ESTÁDARES
3.9.1. NORMA ISO 27001
Constituye la solución de mejora continua más apropiada para evaluar los diferentes riesgos
y establecer las estrategias y controles oportunos que permitirán asegurar la protección y
defender la información. (esan, 2016)
3.9.2. NORMA ISO 27002
El principal objetivo de la ISO 27002 es establecer directrices y principios generales para
iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Esto también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. (ostec, 2007)
3.9.3. DIFERENCIA DE LA NORMA ISO 27001 E NORMA ISO 27002
La ISO 27002 define como ejecutar un sistema de tal manera que no distingue entre controles
que son aplicables a una organización específica a diferencia de la ISO 27001 crea una
estructura de seguridad que exige la realización de una evaluación de riesgo sobre cada
control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben
aplicar. (Tensor, 2015)
4. DESARROLLO DEL PLAN DE SEGURIDAD
El presente plan de seguridad se desarrolla a partir de la necesidad que existe en la Empresa
Maosoft la misma que se encuentra ubicada en la ciudad de Pasaje en las calles Eloy Alfaro
entre 9 de Octubre y Machala en la cual el propósito es de minimizar los riesgos para poder
mantener el control adecuado y llegar a las posibles soluciones.
Como toda empresa tienen vulnerabilidades y riesgos es de gran importancia dotar a la misma
de seguridad física, lógica y personal con el fin de aplicar políticas que salvaguarden la
información. En este caso serán expresadas o detalladas las políticas para prevenir, corregir
y para asumir el riesgo:
Medidas para prevenir: Son aplicables para bloquear un evento que cause daño o
perdida de la información.
Medidas para corregir: Ayudan enmendar la información que asido alterada por
cualquier causa.
Medidas para asumir: Esta se toma en cuenta cuando el riesgo ya ocurrido.
10. Página10 de 21
Planteó esquema del plan general
El esquema estará planteado con enfoque a dar seguridad de la información a la empresa,
haciendo referencia a la implantación de una página web informativa y registros de clientes
donde promociona productos y servicios enfocados en tecnología de MAOSOFT (empresa).
Seguridad Física
1. Seguridad al servidor web.
2. Seguridad en la red y cables de energía.
3. Seguridad de hardware.
Seguridad Lógica
1. Seguridad a la base de datos
2. Seguridad de acceso
3. Seguridad de software
DESCRIPCIÓN DE LOS COMPONENTES DEL PLAN
Seguridad física
1. Seguridad del servidor web
Los ataques al servidor web son los que deben estar más protegidos debido a que son
llamativos para los intrusos de la red; los usuarios dependemos mucho de tecnología por lo
tanto la información es guardada en la base de datos por medio del servidor web. Se ve la
necesidad de plantear medidas de seguridad para la empresa MAOSOFT.
Medidas preventivas
Realización periódica de copias de seguridad de los datos, en especial de los datos
críticos, generados en la empresa.
Instalación de UPS para que permita un correcto apagado en caso de cortes de energía
eléctrica.
Adecuación del espacio donde se encuentra ubicado el servidor, es decir, que no haya
demasiado polvo o humedad.
Medidas correctivas
11. Página11 de 21
Restauración de copias de Backus en el caso de haberse producido una pérdida de datos.
Implementar un servidor espejo que permita tener alojada la información del servidor
local.
Medidas asumibles
Responsabilizar a una persona para revisión frecuente del correcto funcionamiento del
servidor web.
Especificar que herramientas se debe usar para que no vuelva ocurrir perdida de
información en el caso de que se encuentre.
2. Seguridad en la red y cables de energía
Se deben tomar medidas para que los cables de red y suministros eléctricos no perturben la
comunicación con el servidor web y se pueda tener la información disponible de manera
inmediata al consultar la información.
Medidas preventivas
Contratación de dos líneas exteriores con suministradores de internet para garantizar
siempre una conexión mínima a la red.
Control de acceso a la red mediante el empleo de contraseñas.
Implementación de una red interna en la empresa para garantizar que todas las
comunicaciones internas y de carácter confidencial no salen de la estructura de la
propia empresa.
Medidas correctivas
Contratar un correcto servicio de mantenimiento por parte de la empresa
suministradora de servicios de comunicaciones que aseguren una rápida reparación y
restablecimiento del servicio en caso de problemas con la línea.
Realizar backups en caso de que la información se pierda por falta de energía o
saturación de información en la red.
12. Página12 de 21
Medidas asumibles
Contar con un generador eléctrico el cual permitirá mantener una diferencia de
potencial energía.
3. Seguridad de hardware
En el análisis realizado dentro de la empresa se han detectado varios fallos en el
correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre
todo, debido a la ausencia de un sistema de almacenamiento centralizado, lo que pone
en grave riesgo la integridad de la información almacenada dentro de dicho Hardware.
Medidas preventivas
Estandarizar todo el pc que tengan acceso al servidor web.
Contratación de servicio técnico que ayude una rápida marcha de los equipos en el
caso de fallos.
Medidas correctivas
Restauración de copias de Backups en el caso de haberse producido una pérdida de
datos.
Mantener personal especializado para que realice todos los procedimientos para
volver a poner en funcionamiento el sistema y sus respectivos procesos.
Medidas asumibles
El sistema debe estar activo todo el tiempo y en el caso de que falle su tiempo máximo
debe ser no mayor de veinticuatro horas.
Seguridad Lógica
1. Seguridad a la base de datos
13. Página13 de 21
La seguridad se logra si se cuenta con un mecanismo que limite a los usuarios a sus vistas
personales. Generalmente se puede alterar los datos de la base de datos con la inyección SQL
con el fin de burlar la restricción de acceso y dañar la base de datos.
Medidas preventivas
Realizar periódicamente cambios a los programas críticos y el sistema operativo con
los parches de seguridad más actuales disponibles.
Mantener código que se comunique con la base de datos deberá ser filtrado.
Medidas correctivas
Utilizar programas que se especialicen en la seguridad del servidor web y de bases de
datos.
Mantener código que se comunique con la base de datos deberá ser filtrado.
Medidas asumibles
Los valores asignados a cada campo de una base de datos debe ser la necesaria y se
debe validar desde el código de la página web.
2. Seguridad de acceso
El control de acceso de centra en la autenticación, autorización de acceso a la información
alojada en la base de datos y mediante la autenticación el sistema identifica que información
debe mostrar según el usuario que inicio sección, por tal motivo se debe tomar medidas para
restringir el acceso a usuarios no identificados.
Medidas preventivas
Cada usuario deberá estar asociado a un perfil.
Debe tener permisos para modificar dependiente del usuario y contraseña que ingrese.
La información alojada en el servidor web debe estar disponible dependiendo la
petición de cada usuario.
Medidas correctivas
14. Página14 de 21
No se permitirá el acceso a la red, sistemas, aplicaciones y información a ningún
usuario que no esté formalmente autorizado.
Medidas asumibles
Mantener activo el historial de cada IP y las actividades que realiza, para tener acceso
más rápido en el caso de alteraciones de la base de datos
3. Seguridad de software
El software es uno de los componentes que más atención necesita debido a los posibles fallos
que puede ocasionar en la información. Además, es un activo valioso para la empresa después
de la información es por eso que es importante mantenerse actualizado para evitar dicha
perdida de la información.
Medidas preventivas
Instalación de bases de datos centralizadas.
Generar información para facilitar el almacenamiento, accesibilidad y seguridad de
los datos.
Disponer software actualizados y con su licencia respectivas.
Medidas correctivas
Mantener copias de seguridad en el caso de haberse producido una pérdida de los
datos.
Medidas asumibles
Instalar un antivirus ya que de esta manera detectará o eliminará los virus
informáticos.
Propuestas de estándares, herramientas, protocolos entre otros para proteger la
información de la Empresa Maosoft.
15. Página15 de 21
En base a una breve conclusión se determinó que es importante mantener la seguridad del
sistema y la información con la aplicación de estándares, herramientas y protocolos en cuanto
a la seguridad física y lógica de la empresa Maosoft:
La información debe ser:
• Confidencial: Solo permitir el acceso a los usuarios registrados en la base de datos
para así evitar la pérdida de información.
• Integridad: Se realiza actualizaciones de los datos solo con los usuarios identificados
y autorizados para hacer ese proceso.
• Disponibilidad: Asegura que la información estará disponible en cualquier momento
y sobre todo que se presente la información correcta para cada usuario.
• La protección de la información por medio del protocolo:
Protocolo de resolución de direcciones (ARP)
• Cuando IP necesita una dirección de hardware, ARP primero consulta su caché
buscando la dirección de hardware que corresponda con la dirección IP del destino. Si
no hay correspondencia en el caché, ARP construye una frame de requerimiento para
obtener la dirección de hardware de host destino. (Herramientas de Seguridad, 2014)
• En la empresa la información no es controlada por medio de la IP que se realiza la
consulta por lo tanto ARP es una solución para dar seguridad a la información que se
consulte. La información viaja de manera correcta y segura logrando la integridad de
los datos y sobre todo la disponibilidad de la misma.
Librería de socket seguros (SSL)
• La librería de socket seguros fue introducida originalmente por Roberto seguridad a
los visualizados de web mediante la encriptación de conexiones hhtp, sin embargo,
con el paso del tiempo ha sido considerada como un medio para dar seguridad a los
servicios en general de internet.
• En la empresa se aplica SSL porque se desea un detalle completo de la encriptación y
autentificación de lo que se realiza en entre el cliente y el servidor por así decirlo.
• Herramientas de control de acceso que garantizas la seguridad de la información:
16. Página16 de 21
Corta Fuegos (Firewall)
• Básicamente un firewall es una computadora que se encarga de filtrar el tráfico de la
información entre dos redes. El problema no es el controlar a los usuarios de un
sistema sino de prevenir accesos no autorizados de hackers que pudieran atacar la
seguridad. (Herramientas de Seguridad, 2014)
• La empresa requiere lo mejor para la seguridad de la información por tanto se utiliza
el firewall para la vigilancia de la red interna. Esto permite que algún intruso de la red
sea rechazado y no pueda acceder a la base de datos para actualizar información o
prevenir la violación al mismo.
Listas de control de acceso (ACL)
• Solo los usuarios con derechos apropiados podrán usar las funciones del obejto. Esta
característica de los objetos provee seguridad integrada. El acceso a cada objeto es
controlado a través del Access Control List (ACL). (Herramientas de Seguridad, 2014)
• La empresa contiene cuentas de usuarios y contraseñas y medinate el ACL se permite
acceder a los usuarios e a la infromación que requiere, sin antes hacer un chequeo si
este cumple con la indicadores de identificación en la base de datos, si es asi permite
el acceso.
• Estandares y buenas prácticas para aplicar en la empresa:
Norma ISO 27002
• Se trata de una recopilación de buenas prácticas para la Seguridad de la Información
que describe los controles y objetivos de control. Actualmente cuentan con 14
dominios, 35 objetivos de control y 114 controles. De los cuales se tomará la
aplicación de las buenas practicas para la empresa, como gestión de activos, control
de acceso, criptografía, seguridad física y Gestión de incidentes de seguridad de la
información.
ITIL
17. Página17 de 21
ITIL está compuesto por diferentes procesos de los ciclos de vida del servicio que
vienen a ser la definición y el análisis de los requerimientos del negocio a través de la
Estrategia del Servicio y el Diseño del Servicio, la migración en el entorno de
producción dentro de la Transición del Servicio, la Operación del Servicio y la mejora
continua del Servicio. En la empresa se recomienda la aplicación de las buenas
prácticas ITIL para establecer políticas de disponibilidad, integridad y
confidencialidad de la información. Tomando en cuenta el proceso de gestión de
seguridad de la información, gestión de la continuidad de los procesos, gestión de la
integridad de los datos y finalmente la gestión de la disponibilidad de la información.
Descripción del Caso
La empresa MAOSOFT se dedicada a la venta, mantenimiento, configuración e
instalación de computadoras, redes y cámaras de vigilancia de equipos tecnológicos,
q lleva en funcionamiento desde el año 2014, ubicada en la ciudad de Pasaje en las
calles Eloy Alfaro entre 9 de Octubre y Machala. La empresa dispone de personal para
llevar los registros de venta y mantenimientos de redes y cámara de vigilancia, estos
procesos de registro son realizados de manera manual provocando pérdida de tiempo
y aglomeración de archivos físicos. Además, la información física se vuelve
vulnerable ya que cualquier persona puede acceder a la visualización y modificación
de los mismos.
Con la implementación del sistema todo el personal tiene desconocimiento del valor
que tiene la información generada por la empresa puede provocar fallos en el proceso
normal de las actividades por eso se recomienda utilizar las medidas preventivas y
correctivas al momento de manipular la información. Por lo tanto, se recomienda
considerar las pautas que se han detallado en el apartado del desarrollo donde se
manifiesta las posibles medidas a tomar en caso de fallos y así causar todo
vulnerabilidad en la empresa.
En la seguridad física se debe hacer hincapié en la realización periódica de copias de
seguridad de los datos, en especial de los datos críticos, generados en la empresa, la
instalación de UPS para que permita un correcto apagado en caso de cortes de energía
18. Página18 de 21
eléctrica, mediante la red controlar el acceso a la red mediante el empleo de
contraseñas, estandarizar todo el pc que tengan acceso al servidor web,
En la seguridad lógica se recomienda la instalación de base de datos centralizada,
mantener presente la creación de cuentas de usuario y contraseña, el acceso a la base
de datos mediante su usuario especificar los privilegios, mantener código que se
comunique con la base de datos deberá ser filtrado, con el fin de logar proteger la
información desde todos los puntos de vista.
19. Página19 de 21
5. CONCLUSIONES
El presente desarrollo del plan de seguridad se fijó contar con diversas políticas de seguridad
para la Empresa Maosoft ya que de esta manera se logró establecer bajo los lineamientos de
las normas ISO 27001 e ISO 27002 la cual son importantes tomar en cuenta en este
documento. La Empresa Maosotf debe tener en cuenta que es muy importante contar con un
Plan de Seguridad ya que de esta manera tendrían en consideración que los equipos
tecnológicos somos vulnerables a sufrir riesgos de todo tipo por muy buena que sea la
empresa tampoco esta excenta de sufrir algún incidente.
20. Página20 de 21
6. RECOMENDACIONES
Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema
Operativo, Software de gestión, etc.
Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados
durante el periodo desde la última copia de seguridad.
Se recomienda la contratación del personal adecuado para el mantenimiento de los
sistemas y los procedimientos de seguridad (al menos una).
Afianzar los objetivos para la salvaguarda de la información.
21. Página21 de 21
7. REFERENCIAS BIBLIOGRÁFICAS
Atalait. (13 de Diciembre de 2017). Riesgos informáticos en una empresa. Obtenido de
www.atalait.com: https://www.atalait.com/blog/riesgos-informaticos-en-una-empresa
INFOSEGUR. (10 de Noviembre de 2013). Amenazas y fraudes en los sistemas de la
información. Obtenido de infosegur.wordpress.comZ
https://infosegur.wordpress.com/tag/vulnerabilidades/
Jasdee, K. (06 de abril de 2015). LAS AMENAZAS INFORMÁTICAS MÁS COMUNES
EN LA ACTUALIDAD. Obtenido de www.oceano-it.es: https://www.oceano-
it.es/news-individual/369/amenazas-informaticas-mas-comunes-en-la-actualidad
Jerez, C. (2015). Udlap.mx. Recuperado el 15 de 09 de 2018, de Udlap.mx:
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pdf
Castillo, X. (25 de Octubre de 2015). SEGURIDAD INFORMATICA. Obtenido de
seguridadinformatica-umex.blogspot.com: http://seguridadinformatica-
umex.blogspot.com/p/1.html
Farez, O. (17 de Marzo de 2014). IMPACTO DE LA TECNOLOGIA INFORMATICA EN
LOS INDIVIDUOS. Obtenido de www.ecured.cu:
https://www.ecured.cu/Impacto_de_la_tecnolog%C3%ADa_inform%C3%A1tica_e
n_los_individuos
Castillo, H. (5 de Noviembre de 2012). Seguridad Fisica y Logica. Obtenido de seguridad-
informatica-1-iutll.blogspot.com: http://seguridad-informatica-1-
iutll.blogspot.com/2012/11/seguridad-fisica-y-logica.html
Valencia. (21 de 03 de 2018). Universidadviu.com. Recuperado el 20 de 09 de 2019, de
Universidadviu.com: https://www.universidadviu.com/conceptos-seguridad-logica-
informatica/
Edu.xunta. (2016). Edu.xunta.ga. Recuperado el 08 de 09 de 2018, de Edu.xunta.ga:
http://www.edu.xunta.gal/centros/epapualbeiros/system/files/BLOQUE%20I%20SEGURI
DAD%20INFORM%C3%81TICA.pdf
Herramientas de Seguridad. (2014). catarina.udlap.mx. Obtenido de catarina.udlap.mx:
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/argueta_a_a/capitulo2.pdf
SAURA, J. (07 de 2006). UNIVERSIDAD POLITÉCNICA DE CARTAGENA . Obtenido
de Implementacion de Seguridad en Entornos Wed:
http://repositorio.upct.es/bitstream/handle/10317/233/pfc1918.pdf?sequence=2