Scribd
Cargar
20 vistas5 páginas

Practicas Numero 10 Mathias

Cargado por

Cristhoper Joe Prieto Yauli
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
20 vistas5 páginas

Practicas Numero 10 Mathias

Cargado por

Cristhoper Joe Prieto Yauli
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

I.

E HONORIO DELGADO ESPINOZA


ADMINISTRACION DE REDES Y COMUNICACION

INFORME
CURSO : CIBERSEGURIDAD

NOMBRES: MATHIAS EUGENIO

APELLIDOS: CORIMAYHUA MORON

AÑO :2024
1. Identificación de Riesgos
Análisis de Riesgos por Departamento
1. Recursos Humanos:
o Riesgo: Manejo de datos personales y sensibles de
empleados (información confidencial como direcciones,
salarios, contratos, etc.). Esto lo convierte en un objetivo
potencial para ataques de ransomware, robo de identidad
o filtración de datos.
o Clasificación: Alto. La información personal es muy
sensible y, si se ve comprometida, puede tener
repercusiones serias tanto legales como financieras.
2. Finanzas:
o Riesgo: Gestión de datos financieros clave, como pagos,
presupuestos y transacciones. Un ataque a este
departamento podría llevar a fraude financiero o pérdidas
directas si los sistemas son secuestrados o manipulados.
o Clasificación: Alto. Los datos financieros son
fundamentales para la operación de la empresa y su
seguridad es esencial para evitar daños económicos.
3. Desarrollo de Software:
o Riesgo: Peligro de robo de propiedad intelectual, como
código fuente, algoritmos o innovaciones tecnológicas. Un
ataque a este departamento puede resultar en la filtración
o el uso indebido de la propiedad intelectual, afectando la
competitividad de la empresa.
o Clasificación: Alto. La propiedad intelectual es uno de
los activos más valiosos, y su pérdida puede tener un
impacto significativo en la posición competitiva de la
empresa.
4. Ventas y Marketing:
o Riesgo: Acceso a bases de datos de clientes y estrategias
de marketing, lo que podría dar lugar a filtraciones de
información personal o comercial sensible. Un ataque
también podría desestabilizar las campañas y la relación
con los clientes.
o Clasificación: Medio. Aunque los datos son valiosos, no
tienen la misma criticidad que los datos financieros o
personales de empleados.

2. Diseño de Políticas de Seguridad


a. Control de Acceso:
 Política: Establecer un control de acceso basado en roles,
asegurando que los empleados solo tengan acceso a los datos
necesarios para sus funciones.
 Ejemplo: Los empleados de Recursos Humanos solo podrán
acceder a los datos personales de los empleados, y los
desarrolladores solo a los recursos de desarrollo necesarios.
 Herramientas: Implementación de sistemas de gestión de
identidad y acceso (IAM) como Okta o Microsoft Azure AD.
b. Gestión de Contraseñas:
 Política: Requerir contraseñas complejas de al menos 12
caracteres, con una combinación de letras, números y símbolos,
y forzar su cambio cada 90 días.
 Autenticación multifactor (MFA): Implementar MFA en todos
los sistemas críticos para agregar una capa adicional de
seguridad.
 Herramientas: Uso de gestores de contraseñas como LastPass,
Bitwarden, o soluciones integradas en el sistema.
c. Cifrado de Datos:
 Política: Cifrar todos los datos sensibles tanto en reposo (bases
de datos, archivos) como en tránsito (comunicaciones
electrónicas).
 Herramientas: Uso de cifrado TLS/SSL para datos en tránsito y
cifrado de disco completo (como BitLocker en Windows o
FileVault en Mac) para datos en reposo.
d. Uso de Dispositivos Personales (BYOD):
 Política: Regular el uso de dispositivos personales en la
empresa. Si se permite, se debe aplicar un control estricto,
como el uso de VPN y MDM (Mobile Device Management) para
gestionar los dispositivos.
 Herramientas: Soluciones de MDM como Microsoft Intune o
VMware Workspace ONE.
e. Respaldo de Datos:
 Política: Establecer un sistema de respaldo regular de los datos
más críticos en ubicaciones seguras, preferentemente en la
nube con cifrado de extremo a extremo.
 Frecuencia: Realizar backups diarios para bases de datos clave
y semanales para otros datos importantes.
 Herramientas: Software de respaldo como Acronis, Veeam o
servicios en la nube como AWS S3.

3. Implementación de Protocolos
Entrenamiento del Personal:
 Procedimiento: Se organizarán capacitaciones periódicas
sobre ciberseguridad, enseñando a los empleados a reconocer
riesgos como phishing, la importancia de contraseñas fuertes y
cómo manejar datos sensibles.
 Responsable: El equipo de seguridad informática llevará a
cabo las formaciones y también organizará simulacros de
incidentes.
 Evaluación: Se aplicarán pruebas de conocimientos y
simulaciones de ciberataques para asegurar que los empleados
comprendan las políticas.
Herramientas para Aplicar las Políticas:
 Gestión de Acceso: Herramientas como Okta o Azure AD para
implementar el control de acceso basado en roles.
 Monitoreo de Red: Soluciones como Splunk o SolarWinds para
detectar actividad anómala en la red.
 MFA: Implementación de servicios de autenticación multifactor
como Google Authenticator o Microsoft Authenticator.

4. Simulación de Incidentes
Escenario de Simulación:
 Incidente: Un correo de phishing llega a un empleado con un
enlace malicioso que intenta instalar malware en su dispositivo.
El atacante finge ser un colega para engañar al empleado.
 Acción del Empleado: El empleado, gracias al entrenamiento,
reconoce el correo sospechoso y no hace clic en el enlace.
Informa al departamento de TI.
 Reacción del Sistema: El sistema de detección de intrusos
(IDS) identifica el intento de acceso y bloquea el tráfico
sospechoso.
 Resultado: El incidente es evitado sin impacto en la seguridad.
Evaluación y Ajustes:
 Las políticas de ciberseguridad, combinadas con el
entrenamiento del personal y la detección activa, fueron
efectivas para evitar el ataque.
 Ajustes: Se recomienda realizar más simulaciones periódicas
para reforzar la capacidad de respuesta ante diferentes tipos de
ataques.

5. Documentación y Revisión
Documento Formal de Políticas de Ciberseguridad:
 [Incluir un documento completo con todas las políticas
descritas, adaptadas a las necesidades de cada
departamento y con las medidas específicas de
protección implementadas.]
Resumen Ejecutivo:
 Se identificaron riesgos altos en los departamentos de Recursos
Humanos, Finanzas y Desarrollo de Software debido a la
naturaleza crítica de la información que manejan.
 Se diseñaron políticas de seguridad que abordan estos riesgos,
enfocándose en el control de acceso, cifrado de datos, gestión
de contraseñas y respaldo de datos.
 La simulación de un ataque de phishing mostró que las políticas
y el entrenamiento fueron efectivos para prevenir incidentes.
 Recomendaciones: Continuar con la formación del personal y
realizar auditorías periódicas para garantizar la efectividad de
las políticas de ciberseguridad.

Entregables:
1. Documento de Políticas de Ciberseguridad: Detalle
completo de las políticas diseñadas.
2. Informe de Análisis de Riesgos: Evaluación de los riesgos
por departamento.
3. Resultado de la Simulación y Propuestas de Mejora:
Evaluación de la simulación de incidentes y recomendaciones
para fortalecer las políticas.

También podría gustarte