Proyecto: Stack de Políticas y Procedimientos de Seguridad Informática para Pymes Fundamentación Las pequeñas y medianas empresas (pymes) enfrentan desafíos únicos en el ámbito de la seguridad informática. Debido a la limitación de recursos y conocimientos técnicos, suelen ser más vulnerables a amenazas cibernéticas, como ataques de ransomware, violaciones de datos o fraudes electrónicos. Este proyecto se fundamenta en la necesidad crítica de implementar un stack de seguridad informática que, de manera integral y accesible, permita a las pymes proteger sus sistemas de información, datos de clientes, y redes informáticas. Se busca desarrollar un marco de políticas y procedimientos de seguridad informática que sea práctico, rentable, y alineado con normativas de seguridad internacionales como la ISO 27001. La implementación de este proyecto ayudará a las pymes a mejorar su postura de ciberseguridad, mitigando riesgos y asegurando la continuidad de sus operaciones en un entorno digital cada vez más amenazante. Objetivos Generales 1. Fortalecer la ciberseguridad de las pymes mediante la creación de políticas claras y procedimientos prácticos para proteger la infraestructura informática y los datos sensibles. 2. Establecer procedimientos preventivos para reducir la posibilidad de incidentes de seguridad, como filtraciones de datos, malware o accesos no autorizados a las redes. 3. Promover la cultura de ciberseguridad entre los empleados de la pyme, capacitando a todo el personal sobre buenas prácticas en el manejo de información y dispositivos conectados a la red. 4. Asegurar la conformidad con normativas y regulaciones locales e internacionales de seguridad de la información, como la ISO 27001 o la GDPR, en caso de que se aplique. Objetivo Específico Implementar un stack de seguridad informática en una pyme durante un plazo de 6 meses, que incluya políticas de control de acceso, uso seguro de redes, gestión de contraseñas, y copias de seguridad, con el fin de reducir al menos en un 50% los incidentes de ciberseguridad en los primeros 12 meses tras su implementación. Contenidos Conceptuales El proyecto se dividirá en cuatro unidades conceptuales principales: Gestión de Accesos y Autenticación • Implementación de políticas de contraseñas seguras y autenticación de múltiples factores (MFA). • Control de accesos a la red y privilegios de usuarios. Seguridad en Redes Informáticas • Configuración y mantenimiento de firewalls, redes privadas virtuales (VPN) y segmentación de red. • Uso de herramientas de monitorización de red para detectar amenazas. Respuesta a Incidentes de Seguridad • Procedimientos para manejar incidentes como filtraciones de datos, ataques de malware o accesos no autorizados. • Plan de contingencia y recuperación de datos. Políticas de Uso Seguro de Dispositivos y Aplicaciones • Reglas para el uso de dispositivos personales (BYOD) en entornos laborales. • Políticas de instalación y uso de software seguro. Contenidos Procedimentales Habilidades Prácticas a Desarrollar: • Implementación de firewalls y VPNs: Capacitación para configurar herramientas de seguridad de red que protejan la infraestructura. • Gestión de contraseñas y autenticación: Capacitación en la creación y manejo de sistemas seguros de autenticación para usuarios. • Simulaciones de incidentes: Prácticas que simulen escenarios reales de ciberataques para que los empleados puedan responder de manera efectiva. Talleres y Proyectos Integradores: • Creación de copias de seguridad automatizadas y pruebas de restauración de datos. • Simulación de un ataque de phishing y capacitación en cómo reconocer amenazas cibernéticas. Bibliografía y Webgrafía • ISO/IEC 27001:2013. Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información. • European Union Agency for Cybersecurity (ENISA). Guía para la implementación de medidas de ciberseguridad en pymes.
