Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas de Tecnología e Ingeniera

Especialización en Seguridad Informática
Escenario propuesto como alternativa de trabajo de grado

Propuesta para el desarrollo de la alternativa de grado como

Proyecto Aplicado

Escenario Dos (Enfoque Directivo - Administrativo)

La empresa RANDOM S.A, pertenece al sector de tecnologías de la información,

brindando soluciones de red y telecomunicaciones a las PYMES de Colombia, por medio
de venta, configuración e instalación de dispositivos de red y gestión de servicios
telemáticos a precios accesibles. La empresa cuenta un recorrido de 16 años en el
mercado y tiene una planta de 58 colaboradores entre directivos, administrativos y
personal operativo, los cuales garantizan la efectiva prestación del servicio a los clientes.
Debido al gran crecimiento que el 2019 les espera y a la decisión de la junta directiva
de incursionar con servicios para grandes compañías del país, la organización está
reestructurando gran parte de sus departamentos, entre ellos el de Tecnología
Informática (T.I.). Por esta razón, la junta le ha solicitado al Director de TI la
contratación de una persona que se haga responsable de la Ciber-seguridad de la
organización. Esta persona se encuentra en proceso de selección e ingresará a la
compañía el mes siguiente.
El organigrama actual de la organización es el siguiente:
 Gerente General

Desarrollo de
T.I Administrativo
negocios

Compras Infraestructura Contabilidad

Ventas Redes Caretera

Seguridad
Importaciones Tesoreria
Informática

RRHH

El departamento de TI ha definido unos objetivos estratégicos para garantizar la efectiva

prestación del servicio a los clientes internos y externos los cuales son los siguientes:
Infraestructura:
 Mantener la infraestructura técnica de los centros de datos y puestos de trabajo
requerida y acorde a las mejores prácticas de la industria
 Actualizar constantemente el esquema de seguridad para tecnologías de la
información.
Redes
 Garantizar la efectiva prestación de los servicios contratados con nuestros
clientes.
 Ofrecer una administración confiable y oportuna de los servicios de
telecomunicaciones.
Seguridad informática
• Velar por la integridad, disponibilidad y confidencialidad de la información y los
servicios de telecomunicaciones.
Las funciones del departamento de T.I son las Siguientes:
Infraestructura
 Brindar soporte interno en la organización
 Soportar la infraestructura de los servicios contratados
 Compra, configuración e instalación de equipos de cómputo, laptops, servidores,
periféricos y demás elementos necesarios para soportar la infraestructura
tecnológica.
 Gestión del directorio activo y cuentas de correo
Redes
 Gestionar los servicios de telecomunicaciones contratados por los clientes
 Implementación de soluciones de Networking para clientes
 Operar el Network Operations Center (NOC)
 Capacitación a las empresas en temas de networking
 Aplicación de controles de seguridad para los servicios de networking.
 Soporte de los servicios contratados
Seguridad Informática
 Aplicación de políticas y controles de seguridad al interior de la organización
 Capacitación interna en temas de seguridad
 Garantizar el cumplimiento normativo con temas relacionados a seguridad
informática.
 Administración de dispositivos de seguridad.
 Realizar configuraciones básicas de seguridad para servicios contratados con
terceros
El área de seguridad informática gestiona la seguridad interna en la organización y la
seguridad muy básica de los servicios ofrecidos, ya que esta área solo cuenta con un
auxiliar de seguridad. También se encarga de la configuración de la navegación interna,
permisos de usuarios, gestión de consola de antivirus, gestión de VPN y atención de
incidentes de seguridad y definición políticas y procedimientos de seguridad. El auxiliar
de seguridad informática le responde directamente al Director de T.I.
Desde el año pasado se ha creado un comité de seguridad informática, el cual solo se
ha reunido una vez y en teoría debería sesionar de manera ordinaria cada 3 meses y
extraordinariamente cada vez que el Director de TI lo determine.
Los activos del departamento de TI son los siguientes:
Activo Descripción ubicación Cantidad
Servidores de Dominio Servidor encargado de la Centro de 2
autenticación para garantizar o datos
Ver Ficha Técnica denegar a un usuario el acceso a
recursos de la red.

Servidor de impresión Servidor encargado de gestionar Centro de 1

las impresiones en la datos
Ver Ficha Técnica organización.
Servidor de Archivos Servidor encargado de la gestión Centro de 1
de archivos en la organización datos
Ver Ficha Técnica
Equipos de protección UPS encargada de mantener Centro de 1
eléctrica. fluido el centro de datos datos
Ver ficha Técnica
Centro de datos Sitio donde se consolida los Edificio 1
servicios de: Servidor de RANDOM S.A
impresión, dominio, File server.
El Centro de Cableado incluye:
- Sistemas de detección de
incendios.
- Aire Acondicionado.
- Control de acceso físico
(Tarjeta de contacto).
- Extintores.
- Equipos de protección
eléctrica.
ERP Sistema que planifica todos los NUBE 1
recurso empresariales de
RANDOM S.A
SalesForce Aplicativo CRM que gestiona NUBE 1
toda la relación comercial de la
organización.
Correo Electrónico Servicio de Office 365 NUBE
Telefonía IP Plantas telefónicas de todas las Centro de 1
sede. Datos

Teléfonos IP Oficinas 48
Equipos de cómputo de PC + Sistema Operativo Oficina 5
los usuarios finales – Windows 10. Desarrollo de
Desarrollo de negocios negocios
Laptop + Sistema Operativo 7
Windows 10

Equipos de cómputo de PC + Sistema Operativo Oficina de T.I 8

los usuarios finales – TI Windows 10.

Laptop + Sistema Operativo 19

Windows 10

Equipos de cómputo de PC + Sistema Operativo Oficina de 10

los usuarios finales – Windows 10. Administrativo
Administrativo
Laptop + Sistema Operativo 9
Windows 10

Fortigate 60 D Firewall perimetral que sirve Centro de 6

Ver ficha técnica para proteger las redes Datos
empresariales de ataques,
spam, y otros peligros
informáticos. Utilizado para
gestión de servicios contratados
por clientes
Fortigate 100 E Firewall perimetral que sirve Centro de 4
para proteger las redes Datos
Ver ficha técnica empresariales de ataques,
spam, y otros peligros
informáticos. Utilizado para
gestión de servicios contratados
por clientes
FortiAP 24d Access Point que interconecta Distribuido en 16
equipos de comunicación oficina y
Ver ficha técnica inalámbricos, para formar una clientes
red inalámbrica de manera
segura
Fortigate 80E Firewall perimetral que sirve Centro de 1
para proteger las redes Datos
Ver ficha técnica empresariales de ataques,
spam, y otros peligros
 informáticos. Utilizado para
gestión de servicios contratados
por clientes
Cisco catalyst 9300 Dispositivos de red encargados de Centro de 3
Ver ficha técnica la interconexión de la red de datos datos
Operadores NOC Personal encargado de la Oficina 12
gestión de servicios de RANDOM S.A
networking
PRTG Network Monitor PRTG Network Monitor es un Centro de 1
software de monitoreo de red Datos
sin agentes de Paessler AG.
Contratos de servicio Contratos con clientes que 13
disfrutan de los servicios
brindados por RANDOM S.A

Estado actual de RANDOM S.A

 RANDOM S.A. no cuenta con un Sistema de Gestión de Seguridad de la
información.
 El centro de datos es el único que cuenta con acceso con tarjeta de proximidad.
 El centro de datos cuenta con 2 aires acondicionados mini Split de 1200 BTU y se
les hace mantenimiento preventivo 1 vez al año.
 En los últimos 2 años se han generados perdida de datos debido a empleados
inconformes.
 La segmentación de la RED no se ha documentado por lo cual cada vez que hay
un inconveniente se debe invertir mucho tiempo en su resolución.
 El ingreso de personal externo a la organización no se contra de manera adecuada.
 Los Fortigates internos de la compañía no tienen reglas definidas ni licencia de
uso.
 La organización cuenta con un canal dedicado de internet de 10 mb.
 Los computadores portátiles no cuenta con cifrado en disco duro.
 La organización no cumple con los requerimientos de seguridad de la Ley 1581 de
2012 de protección de datos personales.
 Los controles de navegación son insuficientes para las necesidades de la
organización.

Requerimientos
Debido a la reestructuración y crecimiento de la organización, usted ha sido contratado
como consultor externo se seguridad de la información para el diseño, creación e
implementación de un Plan Estratégico de Seguridad de la Información (PESI), el cual
debe compartir con el nuevo responsable de ciber seguridad. Dentro de sus funciones
tendrá:
Dar continuidad a la gestión de la estrategia de seguridad de la información para
continuar apoyar al responsable de ciber seguridad una vez sea contratado.
Mantener la alineación de los objetivos de seguridad de la información con los
objetivos del área, desarrollando el plan estratégico de seguridad PESI.
Continuar desarrollando la cultura organizacional en seguridad de la
información y protección de datos personales.
Mantener el cumplimiento regulatorio relacionado con la seguridad y privacidad
de la información
Evaluar el nivel de seguridad y de exposición de activos a través de análisis de
riesgos, vulnerabilidades, pruebas de intrusión y de ingeniería social, además
de apoyar la remediación de las vulnerabilidades y brechas encontradas a
través de esas actividades.
Tomando como base lo anterior usted deberá realizar las siguientes
actividades:
1. Indique lo que se espera lograr con la implementación del Plan Estratégico de
Seguridad de la Información PESI
2. Determine el tiempo estimado para el diseño del Plan Estratégico de Seguridad
de la Información PESI
3. Indique los riesgos inherentes al Proyecto de la creación del Plan Estratégico de
Seguridad de la Información PESI
4. Proyecte el valor del diseño del Plan Estratégico de Seguridad de la Información
PESI

Una vez definido esto, se debe generar un entregable para la empresa RANDOM S.A.
que contenga los siguientes puntos:
1. Proponga y explique una nueva estructura organizacional teniendo en cuenta la
contratación realizada.

2. Proponga la reestructuración del comité de seguridad de la información,

definiendo los participantes, las responsabilidades del comité, las funciones de
cada participante, las funciones del consultor dentro del comité y la periodicidad
de las reuniones ordinarias y extraordinarias.
3. Determine la importancia de la creación de un Plan Estratégico de Seguridad de
la Información PESI en la organización.

4. Defina los objetivos del Plan Estratégico de Seguridad de la Información PESI

(General y específicos).

5. Establezca el alcance del Plan Estratégico de Seguridad de la Información PESI.

6. Realice un análisis de gestión de riesgos en la organización RAMDON S.A a partir

de la metodología que usted considere o la que mejor se adapte a la organización.
Establezca el marco para la evaluación de riesgos la cual debe contener:

a. Objetivo
b. Alcance
c. Contexto legal
d. Enfoque metodológico
e. Tratamiento
También establezca:
f. Clasificación y valoración de los activos de información
g. Identificación de los riesgos
h. Análisis y valoración de los riesgos
i. Propuesta para la gestión del riesgo (Plan de tratamiento de riesgos)

7. Determine cuáles son los proyectos de seguridad que propone para la

implementación en el corto, mediano y largo plazo, tomando en cuenta los
objetivos estratégicos del área de TI. Estos proyectos podrán ser, entre otros,
proyectos relacionados con Acceso a la información, Seguridad perimetral,
Monitoreo de eventos de seguridad, DLP, Vulnerabilidades, Continuidad del
negocio, SGSI, Ciber-seguridad, sensibilización, hacking ético, protección de
datos personales, etc)

8. Establezca el cronograma de ejecución de cada proyecto definido dentro del plan

estratégico de seguridad de la información.

9. Estime la inversión económica de cada proyecto definido dentro del plan

estratégico de seguridad de la información.