Paso 9 evaluación final

PROYECTO DE GRADO INGENIERA DE SISTEMAS

DANIELA RENGIFO SANCHEZ

Código 1077453396

TUTORA
DIANA M CARDONA ROM

Universidad Nacional Abierta y a Distancia – UNAD.

Programa de Ingeniería de Sistemas.

2019
 TITULO
Sistema de Gestión de Seguridad Informática Para la Caja De Compensación
Comfachocó.

Autores

Ayda Luz Mosquera Perea

Resumen
La seguridad de las aplicaciones web es muy importante, en la actualidad son
puntos muy vulnerables para los ataques ya que los servidores web se tornan más
seguros, siendo las aplicaciones web un blanco más promisorio para las ofensivas
informáticas. Los ataques a nivel de aplicación son una amenaza constante y van
aumentando contra la seguridad Web, en la cual se utiliza una gran variedad de
medios para vulnerar el sitio o las bases de datos, comprometiendo información
almacenada de gran valor. Como es el caso de la Caja de Compensación del Choco
COMFACHOCO, empresa dedicada al recaudo, distribución y pago de subsidio
familiar a los aportantes de las empresas afiliadas, ha sufrido últimamente números
ataques a su aplicación web generado la perdida y filtración de información muy
importante, dentro de los servicios vulnerados se encuentra el servidor de correo
electrónico de la entidad la base de datos , donde sea filtrado y suplantado
información sensible que afecta los procesos anteriormente descriptos a que se
dedica dicha entidad. Después de un sondeo por los aplicativos webs se pone en
evidencia la vulnerabilidad y aprovechamiento de la debilidad que tiene protocolo
HTTP, además de las pocas implantaciones de políticas de seguridad informativa
que cuenta el aplicativo web. Sean fraguado ataques que han producido robo de
información, des configuración de la página y servidor de correos, modificación de
datos, hasta intrusión al servidor web.

Palabras claves
Aplicaciones, web, vulnerabilidad, aplicativo, servidor, filtración, variedad.

Introducción

El problema de la Caja de compensación radica en la inexistencia de políticas de

seguridad informática específicamente en el aplicativo web, que ha hecho que sean
víctimas de filtración y sustracción de información sensible, como es de conocerse
la información sea convertido en un activo para las empresas y no contar con
políticas adecuadas que nos resguarden ante acciones o eventos de terceros con
intensiones no muy convencionales, hacen que seamos vulnerables y muy
predeciblemente perder información. Una de las líneas de investigación aplicable a
la problemática planteado, es la gestión de sistemas esta previstos que los patrones
que se utilizan para el desarrollo de sistemas de información fueron aplicados para
el desarrollo de la aplicación web; hubiera unos requerimientos , que dieron paso
análisis y diseño según las necesidades, luego hubo una etapa desarrollo, pruebas
pertinentes y puesto en ejecución u operación, ahora en la etapa de mantenimiento,
se han percibido que han surgido varias problemáticas en cuanto a la seguridad de
la aplicación web, con la necesidad de una auditoria con el fin de asegurar la
información, e implementar políticas de seguridad que regulen las vulnerabilidades,
aquí entra también otra de las líneas de investigación infraestructura tecnología y
seguridad en la red donde también se exponen tecnologías que también serían muy
útiles al implementar, como es el caso del uso del protocolo HTTPS el cual nos
proporciona que la aplicación web se legitima y mantenga la integridad y privacidad
de los datos de conexión
Marco teórico.

Las políticas y los procedimientos de seguridad informática surgen como una

herramienta organizacional para concienciar a cada uno de los miembros de una
organización sobre la importancia y la sensibilidad de la información que favorecen
el desarrollo y el buen funcionamiento de la organización. Deben considerarse como
reglas a cumplir que surgen para evitar problemas y que se establecen para dar
soporte a los mecanismos de seguridad implementados en los sistemas y en las
redes de comunicación [1].
Un plan de seguridad en una organización debe estar soportado por políticas y
procedimientos que definan porque proteger un recurso, que quiere hacer la
organización para protegerlo y como debe procederse para poder lograrlo.

Evaluación de la vulnerabilidad de la seguridad en los host y los sistemas

operativos [2].
En la sociedad de la información cada vez se torna más respetable el salvaguardar
la información, la cual se divide fundamentalmente en cinco partes: seguridad física,
seguridad de red, seguridad de host, seguridad de las aplicaciones y la seguridad
de los datos. Entre ellos la seguridad del host constituye el piso del sistema de
información convirtiéndose en la base fundamental y esencial en todo el equipo de
seguridad de la información.
Es de opinar que hoy día en las organizaciones se debe tener presente la seguridad
de la información como un pilar trascendente para salvaguardar sus activos, la
composición de la misma hace que se cubra en gran parte todo lo que tiene que ver
con un sistema completo dentro de cualquier negocio. Como todo proceso debe
estar desde el inicio bien concebido; de ahí la importancia de tener primero presente
la seguridad dentro del sistema operativo siendo ello un pilar fundamental para
evitar tanto ataques internos como externos, ya que los controles dentro del mismo
proveen un mecanismo para especificar una variedad de políticas que hacen que
se asegure el proceso de una manera adecuada. La idea principal concebida en los
últimos años ha hecho de los sistemas operativos algo funcional y accesible pero
también ha generado un gran aumento en la vulnerabilidad, dado que cada vez más
los usuarios tienen mayores conocimientos en los mismos y se pueden generar
desde ellos amenazas. Se deben identificar las amenazas potenciales y saber si en
si provienen de fuentes maliciosas o no.

La gestión de la seguridad de la información debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización. Este proceso es el
que constituye un SGSI, que podría considerarse, por analogía con una norma tan
conocida como ISO 9001, como el sistema de calidad para la seguridad de la
información [3].

De la seguridad informática a la seguridad de la información [4]

Cuando una empresa define la seguridad de la información como prioridad,
estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea
la necesidad de instalar mecanismos, llamémosles físicos, que permitan controlar
los riesgos asociados a la seguridad más inmediata; mecanismos entre los que se
encuentran desde las medidas físicas aplicables al espacio en el que se ubican.

Proyecto de un sistema preventivo de seguridad [5].

Los espectaculares avances en la informática y la tecnología de las
comunicaciones, en los últimos años han reorientado el enfoque del procesamiento
del centro de computación para los terminales de las distintas oficinas o los hogares
de datos. El resultado es que los integrantes de TI de hoy deben controlar la
seguridad a un nivel más amplio y establecer cada vez controles más precisos, por
tanto se definió el diseño Prism el cual tiene como objetivo desarrollar e implementar
un sistema de gestión de seguridad de la información, con capacidades de
prevención de intrusos que sea garante del adecuado manejo de los procesos de
detección de riesgos.
La seguridad de la información, según ISO 27001, consiste en la preservación de
su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados
en su tratamiento, dentro de una organización [6].
Diseño de un SGSI para una compañía de seguros [7]
La Superintendencia de Banca, Seguros y AFP, en el 2009, elaboró la circular G140,
que estipula que todas las empresas peruanas que son reguladas por este
organismo deben contar con un plan de seguridad de información

Discusión

El aplicativo web de la caja de compensación del Choco, COMFACHOCO, es muy

vulnerable y ha sufrido múltiples ataques que han generado perdida e infiltración de
información sensible para la compañía, los encargados de las Seguridad informática
de la empresa actualmente no cuenta con un plan que reduzca la vulnerabilidad,
riesgo y monitoreo de las causas para una posible prevención haciendo que la
aplicación web se confiable, integra y disponible.
Dado a la problemática se considera que la empresa adopte medidas de prevención
sobre los datos que se generan, dando pie a la implementación de un sistemas de
gestión de seguridad informática que aseguren confiablidad, integración y
disponibilidad en la información, se requiere de la contratación de asesores externo
expertos en seguridad informática para que pongan en marcha; estándares de
seguridad, métricas, requerimientos para el análisis y evasión de riesgos de la mano
de unas normas de seguridad informática que garantice la seguridad de los clientes
y principal mente de información.
 Conclusiones

Podemos concluir que del presente trabajo, se realizó una investigación rigurosa
para dar solución a una problemática plateada, en base a las líneas de investigación
elegidas y la tecnología empleada.
 Bibliografía

• Medina Cruz, J. (21,12,2016). Componente Normativo. [Archivo de video].

Recuperado de http://hdl.handle.net/10596/22633

• Muñoz, R. C. (2009). Como elaborar y asesorar una investigación de tesis (pp.

24-40). Córdoba, AR: El Cid Editor | apuntes. Recuperado
dehttp://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=24&d
ocID=10328246&tm=1481584091767

• Ferreyro, A., & Longhi, A. L. D. (2014). Metodología de la investigación (pp. 35-

52). Córdoba, Argentina: Encuentro Grupo Editor. Retrieved
fromhttp://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/l
ogin.aspx?direct=true&db=nlebk&AN=847674&lang=es&site=eds-
live&ebv=EB&ppid=pp_35