INVERTIR EN SEGURIDAD: UNA OPORTUNIDAD PARA CRECER EMPRESARIALMENTE

[pic 1]

FACULTAD DE INGENIERÍA, DISEÑO E INNOVACIÓN 

AUTOR

MORENO RENTERIA DAIRO Cod.1711024676

TUTORA
ALEXANDRA PENA DAZA

GRUPO B03

ACTIVIDAD EN CONTEXTO - ESCENARIO 2

BOGOTÁ D.C. 2021

INTRODUCCIÓN

En este trabajo se identificaran los activos de la empresa AIPAD SAS, para realizar un análisis de las vulnerabilidades, amenazas y riesgos, a los que estos están expuestos y frente a los mismos, se dará unas recomendaciones respecto a la seguridad de la información.

ACTIVIDADES

1. Identifique por lo menos 3 activos de información importantes para la empresa
2. Confirme en qué medida la norma ISO 27001:2013 ayudaría a la empresa a tomar medidas con respecto a seguridad.
3. Si la empresa no realiza un ejercicio de implementar políticas de seguridad, ¿cómo se verían afectados cada uno de los principios? Mencione por lo menos 2 situaciones de afectación por cada principio.
4. De acuerdo con la afectación de los principios y los activos indicados, indique una vulnerabilidad, amenaza y riesgo por cada activo.
5. Mencione posibles ataques a los cuales estaría expuesta la empresa, si no se toman acciones para mejorar la gestión de la seguridad.

1. Identificación de los 3 activos de información:

Para la empresa se evidenciaron diferentes activos, sin embargo, para el ejercicio nos enfocaremos en analizar los siguientes 3

1. Switch
2. Servidor
3. Recursos Humanos

Tabla 1, Identificación de Activos

1. Confirme en qué medida la norma ISO 27001:2013 ayudará a la empresa a tomar medidas con respecto a la seguridad.

Debido a que se la empresa maneja información sensible sobre el sector salud, tales como transcripciones médicas, Historias clínicas, entre otras, es de suma implementar un procedimiento claro, de que se debe hacer cuando un empleado se retira de empresa; lo recomendable es crear nuevas contraseñas, Actualizar lista de empleados cada vez que ingresa o sale uno y compartir está a nuestro equipo interno, nuestros clientes y empresa de seguridad privada.

Además, se debe realizar inventarios de los activos con los que la empresa cuenta con cierta periodicidad y establecer auditorias de control interno para garantizar el estado y disponibilidad de estos; ya que sin estos es fácil de que se presenten hurtos sin que la alta gerencia se entere.

Se debe contar con privilegios de seguridad para acceder a la carpeta compartida donde se encuentra el software de trabajo, esto es importante para garantizar el principio de la Confidencialidad.

1. Si la empresa no realiza un ejercicio de implementar políticas de seguridad, ¿cómo se verían afectados cada uno de los principios? Mencione por lo menos 2 situaciones de afectación por cada principio.

1. Afectación del principio Disponibilidad:

• La empresa cuenta con uno solo servidor físico lo cual deja a la empresa sin acceso a los servicios en caso de presentarse un desastre natural.
• Actualmente solo tienen un solo Switch, al cual están conectados todos los equipos de la empresa, esto podría ralentizar el aplicativo y en ocasiones hacerlo inaccesible para los usuarios.

1. Afectación del principio Integridad:

• Debido a que no se cuenta con una política clara del retiro del personal, este puede tener acceso a la información, aun estando por fuera y puede corromperla, o dañarla con intensiones maliciosas.
• Debido a que no se cuenta con privilegios de seguridad para acceder a la carpeta compartida donde se encuentra el software de trabajo, la información puede ser dañada por cualquier persona de forma involuntaria o por error.

1. Afectación del principio Confidencialidad:

• Debido a la falta del proceso para los retiros del personal, estos pueden acceder a información confidencial, lo que claramente vulnera el principio de la confidencialidad.
• Al no tener privilegios para acceder a uso de la carpeta compartida, la información se expone a ser accedida fácilmente por personas que no tienen permisos.

1. De acuerdo con la afectación de los principios y los activos indicados, indique una vulnerabilidad, amenaza y riesgo por cada activo.

[pic 2]

1. Mencione posibles ataques a los cuales estaría expuesta la empresa, si no se toman acciones para mejorar la gestión de la seguridad.

[pic 3]

...