Skip to content

CIBERSEGURIDAD

Vargas-Veronica edited this page Sep 18, 2024 · 5 revisions

PLAN DE SEGURIDAD

Para la planificación del sistema de gestión de seguridad de la información, Se tuvieron en cuenta, los siguientes puntos:

  • RECONOCER LOS ACTIVOS
  • EVALUAR LOS RIESGOS
  • ESTABLECER POLÍTICAS QUE SE ALINEEN CON NUESTROS OBJETIVOS
  • CAPACITACIÓN
  • RESPUESTA A LOS INCIDENTES
  • MONITOREO
  • NORMAS
  • PLAN DE RECUPERACIÓN

IDENTIFICACIÓN DE RIESGOS

Ciberataques Probables: Ataques de inyección SQL, XSS, ataques de fuerza bruta, phishing, y ataques de denegación de servicio (DoS). Activos en Riesgo: Datos personales y financieros de clientes, inventarios de cómics, sistemas de pago en línea y servidores.

MEDIDAS DE PREVENCIÓN

Validación de entradas: Para evitar la inyección de código malicioso. Cifrado de datos: Implementación de HTTPS y cifrado AES para la información sensible. Autenticación multifactor (MFA): Fortalecer la autenticación en cuentas de administradores y clientes. Limitación de intentos de inicio de sesión: Para mitigar ataques de fuerza bruta. Actualizaciones regulares: Mantener actualizados los sistemas operativos, software y plugins.

CONTROLES DE SEGURIDAD

Controles Físicos: Uso de sistemas de vigilancia y control de acceso a oficinas y servidores físicos. Controles Técnicos: Firewalls, VPNs, sistemas de detección y prevención de intrusos (IDS/IPS). Controles Administrativos: Políticas de contraseñas fuertes, capacitaciones en ciberseguridad y políticas de acceso basadas en roles.

CAPACITACIÓN Y CONCIENTIZACIÓN

Capacitaciones periódicas sobre las mejores prácticas de seguridad para todo el personal, incluyendo la identificación de intentos de phishing. Concientización sobre amenazas emergentes como malware y ransomware.

PLAN DE RESPUESTAS A INCIDENTES

Pasos a seguir ante un incidente: Detección, contención, erradicación, recuperación y evaluación post-incidente. Comunicación inmediata a clientes si hay fuga de datos sensibles. Registro de incidentes y análisis para aprender de los ataques.

MONITOREO Y MEJORA CONTINUA

Monitoreo en tiempo real de servidores, bases de datos y sistemas de pago para detectar comportamientos anómalos. Auditorías periódicas y pruebas de penetración para evaluar la efectividad del plan de seguridad.

CUMPLIMIENTO NORMATIVO

Políticas de privacidad claras y divulgadas a los usuarios sobre el manejo de sus datos personales.

PLAN DE RECUPERACIÓN ANTE DESASTRES

Plan de continuidad del negocio que permita la recuperación de operaciones en caso de ciberataques, fallas de hardware o desastres naturales. Backups automáticos y regulares de la base de datos y sistemas críticos.

REVISIÓN Y ACTUALIZACIÓN

Revisión continua del plan para adaptarse a nuevas amenazas, tecnologías o cambios en la estructura organizacional.

Algunos de los ejemplos en lo que se pensó para llegar al plan de seguridad fueron

Identificación de Activos y Riesgos

Activos identificados: Información personal y financiera de los clientes, sistemas de pago en línea, inventario de productos (cómics). Riesgos identificados: Un atacante podría explotar vulnerabilidades en las entradas de formularios para realizar inyecciones SQL y robar datos financieros de los clientes. Las cuentas de usuario sin MFA podrían ser vulnerables a ataques de fuerza bruta.

Medidas de Prevención

Implementación de validaciones de entrada en todas las páginas donde los usuarios introduzcan datos, como el formulario de registro o de pago. Cifrado de datos sensibles: Almacenar datos como contraseñas utilizando algoritmos de hash seguros como bcrypt, y asegurar las comunicaciones entre el cliente y el servidor con TLS/SSL. Aplicar MFA (autenticación multifactor) en los accesos administrativos y usuarios para añadir una capa adicional de seguridad.

Controles de Seguridad

Controles físicos: Implementar sistemas de control de acceso y monitoreo en el área de servidores. Controles técnicos: Uso de firewalls configurados para prevenir accesos no autorizados y sistemas IDS/IPS para detectar actividades maliciosas dentro de la red. Controles administrativos: Política de contraseñas robusta con vencimiento automático cada 90 días, además de capacitaciones anuales en ciberseguridad para todos los empleados.

Capacitación y Concientización

Realizar talleres de capacitación trimestrales sobre phishing y ransomware, donde los empleados aprenden a identificar correos electrónicos maliciosos y a no descargar archivos sospechosos.

Plan de Respuesta a Incidentes

Implementar un plan para responder rápidamente ante un ataque de phishing. Si un empleado es víctima, el incidente debe ser reportado, contenido inmediatamente y eliminar cualquier software malicioso. Se contacta a los clientes afectados para informarles de posibles vulneraciones de sus datos personales. Usar un sistema de registro centralizado (SIEM) para monitorizar y analizar los incidentes en tiempo real.

Monitoreo y Mejora Continua

Pruebas de penetración semestrales para evaluar la seguridad del sistema frente a nuevas amenazas y vulnerabilidades emergentes. Auditorías anuales de seguridad y revisiones de configuración de seguridad para ajustar los controles implementados.

Cumplimiento Normativo

Asegurar que el sitio cumpla con la GDPR (Reglamento General de Protección de Datos) y otras normativas de protección de datos locales, publicando una política clara de privacidad en el sitio web y facilitando a los usuarios la gestión de sus datos personales.

Plan de Recuperación ante Desastres

Crear un sistema de backups diarios automáticos para la base de datos de la tienda de cómics, almacenados en una ubicación segura fuera del sitio principal, permitiendo una restauración rápida en caso de incidentes graves. Probar el plan de recuperación al menos una vez al año mediante simulaciones que aseguren que el equipo sabe cómo reaccionar ante un fallo masivo.

Revisión y Actualización

Cada seis meses, revisar y actualizar el plan de seguridad para adaptarse a las nuevas amenazas emergentes como el auge del ransomware o cambios en las políticas de cumplimiento.

Clone this wiki locally