-
Notifications
You must be signed in to change notification settings - Fork 3
CIBERSEGURIDAD
Para la planificación del sistema de gestión de seguridad de la información, Se tuvieron en cuenta, los siguientes puntos:
- RECONOCER LOS ACTIVOS
- EVALUAR LOS RIESGOS
- ESTABLECER POLÍTICAS QUE SE ALINEEN CON NUESTROS OBJETIVOS
- CAPACITACIÓN
- RESPUESTA A LOS INCIDENTES
- MONITOREO
- NORMAS
- PLAN DE RECUPERACIÓN
Ciberataques Probables: Ataques de inyección SQL, XSS, ataques de fuerza bruta, phishing, y ataques de denegación de servicio (DoS). Activos en Riesgo: Datos personales y financieros de clientes, inventarios de cómics, sistemas de pago en línea y servidores.
Validación de entradas: Para evitar la inyección de código malicioso. Cifrado de datos: Implementación de HTTPS y cifrado AES para la información sensible. Autenticación multifactor (MFA): Fortalecer la autenticación en cuentas de administradores y clientes. Limitación de intentos de inicio de sesión: Para mitigar ataques de fuerza bruta. Actualizaciones regulares: Mantener actualizados los sistemas operativos, software y plugins.
Controles Físicos: Uso de sistemas de vigilancia y control de acceso a oficinas y servidores físicos. Controles Técnicos: Firewalls, VPNs, sistemas de detección y prevención de intrusos (IDS/IPS). Controles Administrativos: Políticas de contraseñas fuertes, capacitaciones en ciberseguridad y políticas de acceso basadas en roles.
Capacitaciones periódicas sobre las mejores prácticas de seguridad para todo el personal, incluyendo la identificación de intentos de phishing. Concientización sobre amenazas emergentes como malware y ransomware.
Pasos a seguir ante un incidente: Detección, contención, erradicación, recuperación y evaluación post-incidente. Comunicación inmediata a clientes si hay fuga de datos sensibles. Registro de incidentes y análisis para aprender de los ataques.
Monitoreo en tiempo real de servidores, bases de datos y sistemas de pago para detectar comportamientos anómalos. Auditorías periódicas y pruebas de penetración para evaluar la efectividad del plan de seguridad.
Políticas de privacidad claras y divulgadas a los usuarios sobre el manejo de sus datos personales.
Plan de continuidad del negocio que permita la recuperación de operaciones en caso de ciberataques, fallas de hardware o desastres naturales. Backups automáticos y regulares de la base de datos y sistemas críticos.
Revisión continua del plan para adaptarse a nuevas amenazas, tecnologías o cambios en la estructura organizacional.
Algunos de los ejemplos en lo que se pensó para llegar al plan de seguridad fueron
Activos identificados: Información personal y financiera de los clientes, sistemas de pago en línea, inventario de productos (cómics). Riesgos identificados: Un atacante podría explotar vulnerabilidades en las entradas de formularios para realizar inyecciones SQL y robar datos financieros de los clientes. Las cuentas de usuario sin MFA podrían ser vulnerables a ataques de fuerza bruta.
Implementación de validaciones de entrada en todas las páginas donde los usuarios introduzcan datos, como el formulario de registro o de pago. Cifrado de datos sensibles: Almacenar datos como contraseñas utilizando algoritmos de hash seguros como bcrypt, y asegurar las comunicaciones entre el cliente y el servidor con TLS/SSL. Aplicar MFA (autenticación multifactor) en los accesos administrativos y usuarios para añadir una capa adicional de seguridad.
Controles físicos: Implementar sistemas de control de acceso y monitoreo en el área de servidores. Controles técnicos: Uso de firewalls configurados para prevenir accesos no autorizados y sistemas IDS/IPS para detectar actividades maliciosas dentro de la red. Controles administrativos: Política de contraseñas robusta con vencimiento automático cada 90 días, además de capacitaciones anuales en ciberseguridad para todos los empleados.
Realizar talleres de capacitación trimestrales sobre phishing y ransomware, donde los empleados aprenden a identificar correos electrónicos maliciosos y a no descargar archivos sospechosos.
Implementar un plan para responder rápidamente ante un ataque de phishing. Si un empleado es víctima, el incidente debe ser reportado, contenido inmediatamente y eliminar cualquier software malicioso. Se contacta a los clientes afectados para informarles de posibles vulneraciones de sus datos personales. Usar un sistema de registro centralizado (SIEM) para monitorizar y analizar los incidentes en tiempo real.
Pruebas de penetración semestrales para evaluar la seguridad del sistema frente a nuevas amenazas y vulnerabilidades emergentes. Auditorías anuales de seguridad y revisiones de configuración de seguridad para ajustar los controles implementados.
Asegurar que el sitio cumpla con la GDPR (Reglamento General de Protección de Datos) y otras normativas de protección de datos locales, publicando una política clara de privacidad en el sitio web y facilitando a los usuarios la gestión de sus datos personales.
Crear un sistema de backups diarios automáticos para la base de datos de la tienda de cómics, almacenados en una ubicación segura fuera del sitio principal, permitiendo una restauración rápida en caso de incidentes graves. Probar el plan de recuperación al menos una vez al año mediante simulaciones que aseguren que el equipo sabe cómo reaccionar ante un fallo masivo.
Cada seis meses, revisar y actualizar el plan de seguridad para adaptarse a las nuevas amenazas emergentes como el auge del ransomware o cambios en las políticas de cumplimiento.