PLAN DE SEGURIDAD INFORMÁTICA PARA UNA PEQUEÑA

EMPRESA DE COMERCIO ELECTRÓNICO

Las medidas de protección a Implementar serian:
- Red: Implementar un Firewall robusto para controlar el tráfico entrante y
saliente, limitando accesos no autorizados a la red interna.
- Usar una VPN para cifrar las conexiones a la red, especialmente para los
empleados que trabajen de forma remota.
- Tener subredes diferenciadas para separar las áreas más críticas como bases
de datos, servidores web, etc. También las áreas menos sensibles como redes
administrativas, usuarios generales.
- Tambien implementar sistemas de detección/prevención de intrusiones para
monitorear y bloquear posibles ataques o comportamientos inusuales en la red.
- Se tiene que asegurar el acceso físico a los servidores y dispositivos críticos
mediante controles de acceso físico.
- Encriptar los discos duros de los servidores y dispositivos móviles para evitar la
fuga de información en caso de pérdida o robo.
- Realizar copias de seguridad regulares y almacenarlas de forma segura,
preferentemente en la nube o en dispositivos externos desconectados.
- Instalar soluciones de protección para detectar y bloquear virus y otros tipos de
malware.
- Configurar el sistema para recibir actualizaciones de seguridad de manera
automática, reduciendo la exposición a vulnerabilidades conocidas.
- Implementar MFA para acceder a sistemas sensibles como bases de datos,
paneles de administración de la tienda en línea, etc.
- Realizar entrenamientos periódicos sobre ciberseguridad, phishing, manejo
adecuado de contraseñas y buenas prácticas de navegación.
- Enseñar al personal sobre la importancia de usar contraseñas fuertes y únicas,
y fomentar el uso de gestores de contraseñas.
- Realizar simulaciones para evaluar la capacidad del personal para reconocer
correos electrónicos sospechosos y prevenir ataques de ingeniería social.

P 1.1 CASO PRÁCTICO: DESCRIBE EN DETALLE CÓMO

ABORDARÍAS UNA BRECHA DE SEGURIDAD EN LA QUE LOS
DATOS DE LOS CLIENTES FUERON COMPROMETIDOS.
Pasos a seguir:
- Identificar el incidente mediante monitoreo de los sistemas de seguridad (logs,
alertas de IDS/IPS).
- Confirmar la brecha mediante una investigación interna y la colaboración con
expertos en seguridad.
- Aislar los sistemas afectados para evitar la propagación del ataque
(desconectar servidores comprometidos de la red).
- Revertir accesos no autorizados y aplicar parches inmediatos si se detectan
vulnerabilidades explotadas.
- Realizar un análisis forense para entender el alcance de la brecha: qué datos
fueron comprometidos, cómo se accedió a ellos, y quién fue el responsable.
 - Examinar los logs de acceso y otros registros para determinar el vector del
ataque.
- Informar a los clientes afectados, proporcionando detalles sobre el ataque y las
medidas tomadas para mitigar los riesgos.
- Restaurar los sistemas y datos desde copias de seguridad no comprometidas.
- realizar pruebas exhaustivas antes de reactivar los sistemas.

P2: DESCRIBE LOS PRINCIPIOS FUNDAMENTALES DE UNA

RED SEGURA. ¿QUÉ DISPOSITIVOS Y TECNOLOGÍAS
UTILIZARÍAS PARA ASEGURAR UNA RED CORPORATIVA?
Principios Fundamentales:
Confidencialidad: Garantizar que solo las personas autorizadas puedan acceder a la
información.
Integridad: Asegurar que la información no haya sido alterada de manera no
autorizada.
Disponibilidad: Asegurar que los sistemas y datos estén disponibles cuando los
necesiten los usuarios autorizados.
Autenticación y Autorización: Verificar la identidad de los usuarios y garantizar que
solo accedan a los recursos a los que están autorizados.
Auditoría: Monitorear el tráfico y las actividades de la red para detectar
comportamientos sospechosos o no autorizados.
Los dispositivos y Tecnologías que usaría son:
- Firewall para filtrar el tráfico de entrada y salida, impidiendo accesos no
autorizados.
- IDS/IPS para tener un monitoreo de red en busca de intrusos y bloquean
ataques conocidos.
- Una configuración adecuada de routers y switches para evitar ataques como el
envenenamiento de caché ARP.
- Usaría un VPN para conexiones remotas seguras y cifradas.

P 1.2 CASO PRÁCTICO: UN EMPLEADO INTENTA CONECTAR

UN DISPOSITIVO NO AUTORIZADO A LA RED DE LA EMPRESA.
EXPLICA DETALLADAMENTE LOS PASOS QUE SEGUIRÍAS
PARA DETECTAR Y MITIGAR ESTE RIESGO
- Monitorear la red en busca de dispositivos no autorizados mediante sistemas
de detección de intrusiones o herramientas de gestión de acceso a la red
(NAC).
- Revisar los logs del router/switch para identificar la dirección MAC del
dispositivo no autorizado.
- Inmediatamente desconectar el dispositivo de la red, bloqueando la MAC en los
dispositivos de red.
- Identificar el punto de acceso utilizado y aislar esa sección de la red.
 - Determinar el origen del dispositivo (si fue conectado por un empleado,
visitante o tercero no autorizado).
- Asegurar que el acceso a la red solo sea permitido a dispositivos autorizados
mediante políticas de NAC.
- Capacitar a los empleados sobre la política de dispositivos permitidos.

P3: ¿CUÁLES SON LAS VULNERABILIDADES MÁS COMUNES

EN LAS APLICACIONES WEB SEGÚN OWASP? PROPORCIONA
EJEMPLOS Y SOLUCIONES PARA CADA UNA.
Inyección (SQL, Command, etc.):
Ejemplo: Inyección de SQL en un formulario de búsqueda de productos.
Solución: Usar consultas parametrizadas y ORM (Object-Relational Mapping) para
prevenir inyecciones.
En autenticación y gestión de sesiones insegura:
Ejemplo: No proteger adecuadamente las contraseñas de los usuarios o permitir
sesiones largas sin expirar.
Solución: Implementar autenticación multifactor (MFA), políticas de contraseñas
fuertes y expiración de sesiones.
Control de Acceso Inadecuado:
Ejemplo: Un usuario no autorizado accede a una página de administración.
Solución: Implementar control de acceso basado en roles (RBAC) y asegurar que cada
recurso tenga las autorizaciones correctas.
Exposición de Datos Sensibles:
Ejemplo: Enviar contraseñas en texto claro por HTTP.
Solución: Usar HTTPS y cifrar los datos sensibles tanto en tránsito como en reposo.

P4: ¿QUÉ PASOS INCLUYE UN PLAN DE RESPUESTA A

INCIDENTES DE SEGURIDAD INFORMÁTICA? EXPLICA CADA
FASE EN DETALLE

- Establecer un equipo de respuesta a incidentes y definir roles y

responsabilidades.
- Implementar herramientas de monitoreo y análisis para detectar posibles
incidentes.
- Detectar y clasificar el incidente en función de su gravedad
- Recopilar información inicial para comprender el alcance del incidente.
 - Aislar el incidente para evitar que se propague a otras partes de la red o
sistemas para minimizar el impacto

P4.1 CASO PRÁCTICO: DESCRIBE DETALLADAMENTE CÓMO

RESPONDERÍAS A UN ATAQUE DE RANSOMWARE QUE HA
CIFRADO LOS DATOS CRÍTICOS DE UNA ORGANIZACIÓN.
Utilizar sistemas de detección de intrusiones (IDS/IPS) o revisar alertas en los logs
para confirmar que el ataque de ransomware está en curso. Las señales típicas
incluyen archivos con extensiones desconocidas, mensajes de rescate o sistemas que
muestran comportamiento inusual (lentitud extrema, imposibilidad de acceder a
archivos).
Despues se tiene que verificar que los archivos de sistemas críticos, como bases de
datos o archivos de clientes, hayan sido cifrados. Asegurarse de que el ataque no
haya afectado a toda la infraestructura.
Pasar a la desconexión de los sistemas afectados para evitar la propagación del
ransomware a otros equipos o servidores. Esto incluye servidores, estaciones de
trabajo, y dispositivos de almacenamiento compartido.
Desactivar la conexión a internet para evitar que el ransomware se comunique con
servidores de control (C&C) externos, cortar la conexión a Internet de los sistemas
afectados.
Deshabilitar Accesos Remotos: Si el acceso remoto no autorizado es sospechoso,
desactivar las VPN y otras formas de acceso remoto.
Identificación del Tipo de Ransomware: Investigar el tipo específico de ransomware
involucrado mediante herramientas forenses, como VirusTotal o plataformas
especializadas en descifrado de ransomware. Esto puede ayudar a determinar si
existen claves de descifrado disponibles o si el ransomware es conocido.
Recolección de Evidencias: Documentar todos los detalles relevantes (logs, mensajes
de rescate, archivos afectados) para realizar un análisis exhaustivo y permitir que el
equipo forense trace el origen y el impacto del ataque.
Revisar los Sistemas Críticos: Verificar qué sistemas y bases de datos se vieron
afectados. Determinar si el ransomware también se ha propagado a las copias de
seguridad.
Impacto en la Operación: Evaluar el impacto que el ataque ha tenido en las
operaciones diarias. Si se trata de datos críticos (por ejemplo, información de clientes
o transacciones), el impacto podría ser significativo.
Notificación Interna: Informar a la alta dirección y a los equipos de TI sobre el ataque.
Activar los procedimientos de gestión de crisis y coordinar la respuesta con las partes
clave.
Notificación a Autoridades: En algunos casos, dependiendo de la legislación local
(como GDPR o leyes nacionales de protección de datos), se debe notificar el incidente
a las autoridades regulatorias y a los clientes afectados por la posible pérdida de datos
personales.
Comunicación Externa: Si se comprometen datos de clientes, notificar a los afectados,
asegurando que se les proporciona información sobre los pasos a seguir (como
monitorear cuentas bancarias, cambiar contraseñas, etc.).
Restauración de Copias de Seguridad: Si las copias de seguridad no han sido
afectadas, proceder a restaurar los sistemas a partir de las copias de seguridad más
recientes. Asegurarse de que las copias de seguridad estén libres de malware antes
de realizar la restauración.
Realizar auditorías de seguridad y pruebas de penetración para identificar
vulnerabilidades.
Asegurar que todas las actualizaciones de software estén instaladas, especialmente
parches de seguridad.
Capacitación y Concienciación: Realizar sesiones de capacitación para el personal
sobre cómo identificar y evitar ataques de phishing, que son una de las principales
puertas de entrada de los ransomware.