ANALISIS Y GESTION

DE RIESGOS DE
INFORMACIÓN
2019

18 DICIEMBRE

FUNDACION UNIVERSITARIA SAN MATEO

Creado por: Jonathan Steve Barrero Rodriguez
Faiber Torres
David Giovanny Pinzon Velandia

1
 ANALISIS Y GESTION DE RIESGOS EMPRESARIALES

INFORME EJECUTIVO EVALUACION DE RIESGOS

INTRODUCCION

La FUS “ Fundacion Universitaria San Mateo ”, cuenta con una infraestructura física y
tecnológica que soporta y aloja diferentes, equipos, plataformas y aplicaciones web.
Estas aplicaciones permiten la prestación de diferentes servicios de gran utilidad para
toda la comunidad mateísta.
Puesto al servicio de alumnos, cuerpo docente y administrativos, permitiendo el normal
funcionamiento de todas de las dependencias y servicios ofrecidos Las aplicaciones web
al igual que la infraestructura, están expuestas y son vulnerables a múltiples ataques ya
sean informáticos o riesgos físicos como robos, desastres naturales y ataques a los
servicios tecnológicos de la FUS que pueden atentar contra los aspectos principales y
necesarios que ofrece una entidad como esta.
El uso de las aplicaciones web es cada vez más frecuente dentro de las diferentes
compañías e instituciones del mundo; es prácticamente imposible no hacer uso de
estas, ya que su aplicabilidad facilita el acceso a la informaciónde forma dinámica y
oportuna. Teniendo en cuenta esto, surge la necesidad de adoptar y estructurar
metodologías y procedimientos que puedan ser utilizados para evaluarlos aspectos
fundamentales de la seguridad de la información (confidencialidad, disponibilidad e
integridad), de las aplicaciones web que se vayan a implementar o utilizar y de la
infraestructura física y tecnológica que las soporta .

FORMULACIÓN DEL PROBLEMA

¿Cuenta la FUS con una plataforma web segura y sus aplicaciones soportan la cantidad
de usuarios que la usan?

¿Cuenta la FUS con una infraestrucutra y planta fisica suficiente para albergar la
comunidad estudiantil, planta docente y personal administrativo?

¿Será importante para la FUS mantener sus activos de información protegidos, ya sea
invirtiendo en equipos y personal que gestione y administre de forma oportuna y eficaz
posibles vulnerabilidades que esta institución pueda presentar a nivel de aplicaciones
web e infraestructura informática?

2
OBJETIVO GENERAL

Realizar, estructurar, adoptar y ejecutar un proceso para la detección de

vulnerabilidades que se puedan presentar las diferentes aplicaciones web con que
cuenta la FUS, y la infraestructura tecnológica que las soporta, para posteriormente
mitigar su explotación. Evaluar los posibles riesgos naturales y incidentes que puedan
perjudicar la planta fisica y personal de la institucion.

OBJETIVOS ESPECÍFICOS

• Identificar las posibles vulnerabilidades en la infraestructura y las aplicaciones web

que cuenta la FUS.

• Evaluar las herramientas informáticas que permitan la detección de vulnerabilidades a

nivel de seguridad en las diferentes aplicaciones web con las que cuenta la FUS.

• Crear y utilizar un esquema estructurado y documentado de las diferentes técnicas

utilizadas para la detención de vulnerabilidades de la plataforma tecnológica y las
Aplicaciones Web a nivel de seguridad de la información, así como del proceso técnico
para mitigarlas.

• Analizar los factores de riesgo y su tipo de afectación ya sea en infraestructura,

desarrollo, implementación o ejecución.

• Tener un plan de acción para contrarrestarlas vulnerabilidades a las que sean más
propensas y de esta manera mitigar los riesgos.

• Comprobar que se cuenta con los recursos óptimos y necesarios para la buena gestión
y alto desempeño que debe tener la institución.

• Consolidar las correcciones y registros de incidentes que alimenten la información

para efectuar y conocer los riesgos que se presenten y la forma de resolverlos.

INFRAESTRUCTURA

La FUS cuenta con infraestructura tecnológica en su data center con equipos de las
siguientes características:
Cisco 2950, Cisco 1800, Cisco 2800 series Catalyst 2950 y 2960, Cisco 2500 Wirelless,
cumpliendo con los estándares de medio ambiente y seguridad. Estos equipos
garantizan las conexiones de los estudiantes y su cuerpo administrativo brindando
redundancia en sus conexiones para así garantizar una efectividad 7x24 manejando
3
conexiones de redes virtuales y protocolos de seguridad en sus dispositivos switch,
router y firewall. El proveedor de servicios de internet es IFX el cual proporciona la fibra
óptica para garantizar un óptimo servicio en los canales de conexión a la parte
académica y administrativa de la institucióncon un ancho de banda de másde 20 Megas.
Adicionalmente, la FUS maneja sus servicios de telefonía IP a través de un servidor
Asterisk donde hay servicios de conmutador, PBX, extensiones, sistema IVR ,
extensiones remotas, Este último,cuenta con un servicio de internet a través de un
software o softphone que permite la configuración del servicio.
La FUS, implementa un circuito cerrado con accesos remotos, locales y accesos remotos
por internet para el monitoreo de cámaras ubicadas en lugares estratégicos para
garantizar el control y la seguridad en la misma. Además, cuenta con una red
inalámbrica para garantizar la conexión a internet a los estudiantes, administrativos o
invitados, esta conexión es por medio de equipos AP marca Cisco. Para el caso del
estudiante, este debe autenticarse con un usuario y contraseña de la plataforma
Academusoft para poder navegar.
En la actualidad, hay 400 equipos distribuidos en las salas especializadas, laboratorios y
administrativos sus especificaciones técnicas, van de acuerdo a las necesidades de cada
área para así garantizar y estar a la vanguardia tecnológica. Se manejan distintos
sistemas operativos tales como Windows (Server, XP, 7 y 8), Mac Os XLion y Linux en
sus versiones Ubuntu, Suse, Red Hat. Cada software en la fundación está debidamente
licenciado.
La infraestructura de la FUS actualmente la cuenta con el siguiente esquema de red
LAN:

4
POSIBLE ATAQUES

Como sabemos los ataques a la infraestructura pueden ser muchos en cada uno de sus
diferentes tipos de ataques y atacantes, a continuación mencionaremos los más
comunes según algunas fundaciones de seguridad

1. INYECCIÓN DE CÓDIGO
La inyección de código es ataque en el que se envía texto o una sintaxis en los datos
requeridos por el sistema y aprovechando la deficiencia del intérprete permite que el
atacante tenga acceso a la información que manipula el aplicativo.Este ataque se realiza
principalmente por aplicativos web atacando directamente a las bases de datos donde
se encuentra toda la información con la cual interactúa el aplicativo.
Los ataques de este tipo se pueden identificar agregando palabras claves del lenguaje
de programación sobre el cualestán montada la base de datos.

2. CROSS SITE SCRIPTING

Este tipo de ataque permite al usuario atacante introducir un script que se ejecuta en el
navegador usuario. Este tipo se realiza directamente sobre la parte front de usuario
utilizando código javascript.

3. MALA AUTENTICACIÓN Y MANEJO

El ataque se podría definir como uno de tipo usuario y perfil, esta falla se genera por
que la validación de acceso no se realiza manera correcta permitiendo que el acceso a

5
información que no pertenece al usuario y permitiéndole ingresar a datos a los cuales
no debería acceder.
La mala autentificación y manejo se pueden identificar cada vez que un usuario se
logea con su usuario y contraseña correspondiente pero accede con otros perfil ya sea
del mismo rol o no.

4. FALLO DE ACCESO A URL

El atacante realiza su acción directamente sobre el acceso directo de la página web,
este funciona de manera que cada vez que el usuario digite una ULR este lo direccione a
un sitio web impostor en el cual la persona digita todos los datos de acceso
suministrándolos todos al atacante para que ese pueda acceder a los aplicativos en un
futuro.

5. ARCHIVOS MALICIOSOS
Estos son programas hostiles introducidos en el equipo para explotar las
vulnerabilidades de una aplicación, esto atacan directamente a los sistemas operativos
y se manifiestas como troyanos, gusanos, virus, spyware, backdoors, rootkits, etc. De
esta manera entrena en los equipos y luego comienza a ejecutar su daño de acuerdo o
como estén diseñados.
Estos archivos se identifican por tener nombres que no son muy utilizados para los
programas, de manera que si un proceso que se desconoce su autor y como se instalo
lo mejor es detenerlo y eliminarlos.

6. INTERRUPCIÓN
Este un ataque de tipo DoS en el que se afecta la disponibilidad ya sea de los datos
o de la red en general, dañando casi de manera inmediata alguno o algunos de los
recursos del sistema. Identificar ese problema no es difícil basta con verificar que el
sistema esta caído y no se tiene acceso a los datos.

7. HURTO DE EQUIPOS
El ataque es tipo físico y es una falla en la seguridad de las instalaciones de la fundación,
se puede presentar en cualquier momento y puede afectar la institución si no tiene
asegurado, llevándose equipos especiales que cumplen funciones principales en la
infraestructura.
A su vez se vulnera la seguridad de la institución y se toma los objetos de valor sea
tangible como equipos y elementos físicos o intangible como datos y información
confidencial. Se debe desconfiar de personal extraño que entre a las instalaciones del
área de tecnología o de cualquier lugar con equipos de cómputo.

6
8. INCENDIOS
El riesgo de incendio se podría clasificar en riesgo físico que afecta directamente la
infraestructura, se puede presentar por cortos eléctricos ya sea en el sistema o
equipos, por afectación de recipientes inflamables oh mala manipulación de estos
mismos. El ataque se puede identificar por quepor la temperatura que aumenta por el
olor y se percibe, y se propaga rápidamente en cualquier ambiente y afecta todo lo que
llegue a su alcance.

9. DESASTRES NATURALES
Los Desastres Naturales son todos los sucesos naturales que puede afectar la
infraestructura de la institución y que son casi totalmente impredecibles como
tormentas, temblores, huracanes, inundaciones, etc. No se pueden prevenir y ataca la
planta física de cualquier estructura y pone en riesgo al personal y equipos de la
empresa. La única manera de prevenirlos es atento a los sistemas de prevención de
desastres alarmas y control con los que se cuenten.

10. FALLAS DE SUMINISTRO ELÉCTRICO

Esta falla afecta la iluminación y cualquier equipo que dependa de energía para su uso,
dejando sin suministro de energía eléctrica al plantel y equipos de cómputo y se
identifica por la falta de suministro de energía.

ACCIONES DE PREVENCIÓN

Dependiente del ataque o de la faya identificada que puede alterar el funcionamiento

normal de la infraestructura de la fundación se propondrán algunas sugerencias que
ayuden a mitigar las vulnerabilidades.

1. INYECCIÓN DE CÓDIGO
El administrador de la plataforma debe comprender cuales son las debilidades más
comunes que pueden ser aprovechadas por los atacantes. El administrador debe a su
vez detectar las fallas para que estas puedan ser controladas de manera segura y de
esta manera no verse afectado, también se debe garantizar que la información es la
misma tanto en el origen como en el destino.
El administrador de la aplicación debe identificar y mitigar el tráfico sospechoso sin
comprometer el rendimiento o la disponibilidad del servidor de origen.

2. CROSS SITE SCRIPTING

Se debe identificar cuáles son los puntos débiles del sistema, cuando se encuentre en
ejecución este ataque se debe bloquear y aislarlo de esta manera se impedirá que el
atacante llegue hasta el servidor.

7
Se recomienda a la fundaciónimplementar una aplicación web de firewall para que este
haga una inspección profunda de cada solicitud de esta manera se garantiza de que
nadie pueda entender los datos o la información almacenada.

3. MALA AUTENTICACIÓN Y MANEJO

Antes, durante y después del ataque se sugiere a la institución implementar tiempos de
vigencia de la sección, definir parámetros en los cambios de contraseña
periódicamente, recuperar claves y accesos perdidos e identificar cuales están en
funcionamiento y desactivarlos.
Además de lo anterior crear políticas de administración de contraseñas con vigencia y
esquemas robustos de autentificación.

4. FALLO DE ACCESO A URL

Se debe controlar totalmente el acceso en la capa presentación, si el ataque se está
efectuando se debe tener nuevamente control sobre las aplicaciones y cambiar todos
los accesos.
Se siguiere mostrar enlaces y opciones de menú autorizados sobre la página o que los
usuarios tenga acceso a ellas. Realizar a su vez pruebas de instrucción de manera
periódica para prevenir asegurar estos futuros ataques.

5. ARCHIVOS MALICIOSOS
La institución debe tener suficientes licencias de antivirus certificados para cubrir todos
los equipos de la fundación y que a su vez estos estan actualizados.
Implementación de programas antivirus que operen bajo mecanismos de detección
avanzados como la heurística, que también permitan monitorear, controlar y
administrar de manera centralizada cada uno de los nodos involucrados en la red.
Eliminar todos los procesos y aplicaciones que no se desconozcan y no estén
autorizados para su instalación y ejecución en los equipos de la fundación. Controlar los
picos de tráfico para su detección y eliminación.

6. INTERRUPCIÓN
Se recomienda actualizar los software, antivirus, revisión mensual de los equipos y de
la red. En el momento que se identifique que el ataca se está realizando se debe hacer
cambio inmediato de la herramienta encaso de que el ataque afecte el hardware o
actualización del software. Para prevenir el ataque se debe sermás cuidadoso con la
revisión y actualización del sistema. Revisar la parte física de la red, los elementos a
nivel de hardware y realizar las respectivas revisiones del software utilizado.

8
7. HURTO DE EQUIPOS
Verificar las instalaciones donde se almacena y se instalan los equipos, es recomendable
mantener un inventario de todos los equipos y software, capacitaciónes al personal de
seguridad y tener servidores externos fuera de la institución.
En el momento del hurto lo aconsejable es reponer todos los equipos posibles de
manera inmediata e informar a la policía revisar el inventario para poder identificar a
las perdidas y los daños. Mantener los equipos en áreas restringidas y copias de
seguridad en servidores externos es una buena opción para mantener una continuidad
del negocio en caso de que se ejecute el ataque.

8. INCENDIOS
Mantener extintores eléctricos áreas demarcadas con avisos de evacuación y salidas
amplias, durante el incendio informar a áreas especializadas como los bomberos tratar
de apagarlo si es controlable, después de controlar el incendio y determinar que el área
es segura se deberá revisar la afectación en la infraestructura física,en equipos y
elementos del área, mantener suficientes extintores y hacer un plan de evacuación ante
este tipo de riesgos.

9. DESASTRES NATURALES
En caso de inundación, el cual es poco probable por las mismas condiciones geográficas
de la ciudad, se debe llevar los equipos de pisos inferiores a los pisos más altos por el
personal autorizado.
En caso de temblor todo el personal que este cerca de un equipo deberá desconectarlo
y salvaguardarse, el personal autorizado de sistemas después de verificar que la
instalaciones son seguras deberán desconectar todos los equipos, con el fin que el
retorno de la energía no daña los equipos conectados, ser realizara un inventario de los
equipos para saber si hubo perdidas o si alguno presenta algún daño físico.
Con el retorno de la energía se procederá a encendertodo los equipo que no tuvieron
daños físico y se revisara su correcto funcionamiento con de todas las herramientas
instaladas en el equipo. Los equipos con daños físicos se revisaran para verificar si
alguna de sus partes internas fueron afectadas y si necesario y posible arreglarlas porel
personal de la institución.

10. FALLAS DE SUMINISTRO ELÉCTRICO

Mantener ups y plantas de energía recargadas y salvar los cambios de los computadores
que estén en uso. Trabajar con ups oh suministro de energía temporal, evaluar la planta
eléctrica y ups, mantener conectados los equipos de computo a tomasreguladas y
realizar mantenimientos

9
 RECOMENDACIONES

• Invertir en equipo y herramientas que controlen y gestionen de manera más oportuna

y eficaz los recursos puestos en la web

• Capacitar al personal sobre las amenazas y ataques que pueden llegar a ser víctimas y
darles consejos para que puedan prevenirlos

• Revisar constantemente los servicios de la red y mantener backups recientes

• Cambiar las contraseñas en periodos cortos y que tengan buen nivel de seguridad

• Formar grupo de investigación que documente y analicen mejoras en estos servicios.

• Documentar los procesos que se lleven a cabo tanto en el área de desarrollo como los
que ya estén en gestión.

• Mantener un plan de mejoramiento continuo evaluando y capacitándose sobre los

avances y recursos disponibles y que mejoren la calidad del servicio.

• Demarcar y contar con planos de infraestructura e las zonas comunes y de alto

impacto de la empresa ya sea para informar, prevenir y alertar.

• Realizar pruebas de verificación sobre el sistema y contar con un plan de prevención

de desastres.

• Realización de reportes y estadísticas que demuestren el estado y el buen uso que se

tienen sobre la plataforma, equipos y programas en uso.

• Contratar empresas oh personal externo que realice veedurías sobre los recursos y
herramientas con los que cuenta la institución.

• Implementar un sistema de control de acceso que autentique al personal y permita el

ingreso y la salida del área que requieran (recomendable por costos en la entrada de la
institución y sitios restringidos de alto impacto como cuarto de servidores y áreas de
tesorería).

10