PLAN DE MEJORAMIENTO

CARLOS ANDRES ARBELAEZ SALAZAR

FUNDACIÓN UNIVERSITARIA ÁRE ANDINA

2022
 INTRODUCCIÓN

Por medio del presente trabajo hablaremos sobre plan de mejoramiento aplicando todo lo visto en el eje 4. Un

Plan de Mejoramiento es el resultado de un conjunto de procedimientos, acciones y metas diseñadas y

orientadas de manera planeada, organizada y sistemática desde las instituciones.

Ortega, C. (2022, 5 marzo). Cómo implementar un Plan de Mejora Empresarial. QuestionPro.

[Link]
 OBJETIVO

 Proponer un plan de mejoramiento sobre los activos tecnológicos de la empresa.

 DESARROLLO DE LA ACTIVIDAD

IMPRESORAS

Una impresora es un periférico de ordenador que permite producir una copia permanente de textos

o gráficos de documentos almacenados en formato electrónico, imprimiéndolos en medios físicos,

normalmente en papel o transparencias, utilizando cartuchos de tinta o tecnología láser.

Realizamos la auditoria a las impresoras y evidenciamos los siguientes riegos.

- Fuga de Información por impresión de información confidencial realizada por

usuarios no autorizados.

- Aumento de Costos en insumos por mal uso de la impresión.

- No existe restricción para enviar ordenes de impresión a través de la red.

Un riesgo al activo (Información). A continuación, podemos observar la matriz de

riesgo su calificación, observaciones, causas, probabilidades y consecuencias de estos

como Pérdida económica, Pérdida de Imagen, etc.

Castellanos, V. (s. f.). fallas comunes de las impresoras. [Link].

[Link]

- El uso de impresión por usuarios con contraseñas determinados por direcciones

IP con privilegios para enviar ordenes de impresión.

- Deshabilitar el uso compartido de archivos e impresoras en equipos que no

requieran tales privilegios.

- Hacer uso de estos dispositivos solo con fines útiles a la empresa.

 EQUIPOS DE CÓMPUTO

Dispositivo electrónico que almacena y procesa información para después mostrarla en

una interfaz a la disposición del usuario, permite una interacción del hardware (parte tangible)

con el software (parte intangible).

Al realizar el proceso de auditoria en una organización a los equipos de cómputo aplicamos

la matriz de riesgos (Imagen 1) con al cual podemos analizar el funcionamiento de los

equipos. De acuerdo con los riesgos que se evidencian por no cumplir las normas mínimas

de un correcto funcionamiento como puede ser tener hardware y software obsoleto no

cumplir con actualizaciones no tener un control por parte del grupo de sistemas para el

análisis de los equipos tecnológico de la organización, al evidenciarse los riesgos se

establece una lista de comprobación con el cual determinamos el impacto y área que se

pueden ver afectadas con lo encontrado (Imagen 2).

Equipos de cómputo para personas de escasos recursos. (2016, 5 marzo). Fundación Compartir.

[Link]

recurso
Al encontrar los riesgos aplicamos un plan de tratamiento con los cuales se da una solución

a lo evidenciado estableciendo un plan de trabajo con fechas de inicio, fechas de fin e

involucrando diferentes áreas las cuales se identifique que pueden ayudar a mitigar los

riesgos como lo pueden ser : Proveedor ,Almacén, mesa de ayuda , soporte y los grupos de

sistemas con los cuales se puede tener una certeza del software y hardware de los equipos

además que se cuenten con las actualizaciones de acuerdo a las necesidades del negocio de

la organización .
 ROUTER WIFI

Un router es un dispositivo que ofrece una conexión Wi-Fi, que normalmente está conectado

a un módem y que envía información de Internet a tus dispositivos personales, como

ordenadores, teléfonos o tablets. Los dispositivos que están conectados a Internet en tu casa

conforman tu red de área local (LAN).

Se realiza la respectiva auditoria de seguridad a dispositivos tales como Router WIFI en los

cuales podemos encontrar vulnerabilidades y amenazas posibles sin embargo para ello se

realiza una matriz de riesgo donde se evidencia no solamente un dispositivo tal como Router

si no demás componentes que diariamente son usados en la parte tecnológica y que si no se

configuran y se administran de la forma más adecuada se puede llegar a presentar caso

críticos donde la perdida de información y la afectación al servicio será dada de manera

negativa.

Vulnerabilidades posibles

- Contraseñas predeterminadas: Es una de las vulnerabilidades más obvias ya que

sabemos que al adquirir nuevos dispositivos como lo son ROUTER WIFI entre

otros llegan con contraseñas por default, es ahí donde el administrador hace caso

omiso y deja la misma clave y se logra vulnerar la red fácilmente.

- Suplantación de IP: La suplantación es bastante difícil ya que el agresor debe

predecir los números de secuencia TCP/IP para coordinar la conexión a sistemas de

destino, aunque hay varias herramientas disponibles para que los atacantes realicen

dicha agresión.

Amenazas Posibles
- Arquitecturas inseguras: Una red mal configurada es un punto de entrada a

usuarios no autorizados. Abandonar un sitio confiable y abrir una red local

vulnerable a la Internet que es altamente insegura, es como si dejara la puerta

entreabierta en un vecindario de alta delincuencia organizada no ocurre nada por un

tiempo, pero al final alguien aprovecha la oportunidad. Esta es una amenaza latente

en cualquier red informática.

- Redes de difusión: Esta suele ser otra amenaza común y hace referencia a los

protocolos de resolución de direcciones como ARP o enmascaramiento de

direcciones de control de acceso de medios MAC y se debe a que Los

administradores de sistemas suelen no dar importancia al hardware de red en sus

esquemas de seguridad es decir, cada vez que un nodo transmite datos a través de la

red a un nodo receptor, el concentrador o enrutador envía una transmisión de

paquetes de datos hasta que el nodo recipiente reciba y procese los datos.
 PLAN DE GESTION DE RIESGOS DE SEGURIDAD

A continuación, se realizará un plan de gestión de riesgos donde se genere acciones que

minimice el impacto de las vulnerabilidades y amenazas obtenidas en la compañía

- Criterios de evaluación de riesgos: Se identificará la magnitud del riesgo

escalándolo de la siguiente forma.

RIESGO

ALTO

MEDIO

BAJO

Criterios de impacto:

- Considerar el impacto a la información en términos de confidencialidad,

integridad y disponibilidad, así como los impactos del negocio.

- En esta fase de gestión de riesgos se identificarán los impactos

considerando el nivel de sensibilidad de los activos.

- En este caso entendemos que sensibilidad = impacto.

Criterios de aceptación:

- Se podrían aceptar los riesgos de nivel “Bajo”.

- Si se desea aceptar un riesgo en nivel “Medio o “Alto”, deberá:

- Existir la debida aprobación de la Gerencia.

- Contar con un registro de la justificación.

Organización:
Análisis y evaluación de riesgos:

- El análisis y evaluación de riesgos (Risk assessment) describe cuantitativa o

cualitativamente los riesgos.

- Esto facilita la gestión de la seguridad de la información, incluyendo la

implementación efectiva de controles y la toma de decisiones.

- Cada organización debe definir su propio enfoque para esta actividad.

Tratamiento de riesgos:

- Una vez concluido el Análisis y Evaluación de Riesgos, la siguiente

actividad es el Tratamiento de Riesgos.

- Existen cuatro opciones de tratamiento de riesgos:

o Transferir

o Reducir

o Aceptar

o Evitar

- Estas opciones no son mutuamente excluyentes.

Opciones de tratamiento:

- Reducción: Se reduce el riesgo por medio de la selección de controles para que el

riesgo residual sea reevaluado como aceptable.

- Aceptación: Se retiene el riesgo si el nivel de riesgo alcanza el criterio de

aceptación de riesgos y no necesitan implementarse controles adicionales.

- Evasión: Se evitan los riesgos cuando los riesgos identificados se consideran

demasiado altos, o los costos de implementar otra opción de tratamiento excede

los beneficios. Entonces, se suprime la actividad planeada o existente o se

 cambian las conductas bajo las que opera la actividad.

- Transferencia: Se transfieren los riesgos cuando se toma la decisión de

compartirlos con terceras partes.

- Las opciones de tratamiento de riesgo deben seleccionarse tomando en

consideración:

o Los resultados del análisis y evaluación de riesgos

o El costo esperado de la implementación

o Los beneficios esperados

- Debe considerarse cómo perciben los riesgos las partes afectadas y la mejor

forma de comunicárselos, además de las restricciones identificados en el

establecimiento del contexto y las restricciones de reducción.

- Una vez definido el tratamiento de riesgos, se deben determinar los riesgos

residuales.

- Esto se logra actualizando o haciendo otra iteración del análisis y

evaluación de riesgos considerando los controles propuestos.

- Si los riesgos residuales no alcanzan los criterios de aceptación

establecidos, se requiere redefinir el tratamiento de riesgos.

Comunicación de Riesgos:

 Debe existir comunicación continua entre las partes interesadas.

 Puede formarse un comité con tomadores de decisiones y otras partes

interesadas donde puedan discutirse los riesgos, su priorización y tratamiento

apropiado y su aceptación.

 Deben existir planes de comunicación de riesgos tanto para operaciones

normales como para situaciones de emergencia.

 La cooperación con Relaciones Publicas, Departamento de Comunicación, o

área similar es importante; en especial en el caso de la comunicación de crisis

 CONCLUSIONES

Teniendo en cuenta lo anterior podemos concluir la importancia del mejoramiento continuo

radica en que con su aplicación se puede contribuir a mejorar las debilidades y afianzar las

fortalezas de la organización. A través de este se logra ser más productivos y competitivos

en el mercado al cual pertenece la organización.

Merced, F. E. N. S. la. (2022, 29 marzo). Plan de Mejoramiento Primer Periodo 2022.

[Link]

[Link]
 BIBLIOGRAFIAS

 PLANES DE MEJORAMIENTO INSTITUCIONAL Analizar, definir, organizar,

- ..::Ministerio de EducaciÃ3n Nacional de Colombia::.. (s. f.).

[Link]

 Por qué necesitas un plan de mejora de procesos. (2018, 21 septiembre).

[Link]

 Planes de Mejoramiento. (s. f.).

[Link]