lab-5.1

14
Caso práctico: Enunciado Pasó 3 5. POLÍTICA DE SEGURIDAD. 5.1. Política de seguridad de la información. 5.1.1. Documento de política de seguridad de la información. (aplicar) Se aplicara para establecer el compromiso de la empresa en cuanto a la seguridad informática además de así asegurar las reglas que conduzcan a un buen uso de la información, evitando así errores por parte de los usuarios y de los administrador con una probabilidad de 4%, 2.4% en los servidores respectivamente. 5.1.2. Revisión de la política de seguridad de información. (aplicar) Se aplicara para ver si las reglas que tiene la empresa en cuanto a la seguridad de la información están bien definidas o si hay algún cabo suelto; y de ser así reformularlas o agregar otras reglas, evitando así destrucción de la información como los expedientes con una probabilidad del 3.6% de que ocurra. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 6.1. Organización interna. 6.1.1. Compromiso de la Dirección con la seguridad de la información. 6.1.2. Coordinación de la seguridad de la información. 6.1.3. Asignación de responsabilidades relativas a la seguridad de la información.(aplicar)

Upload: cristinasanchezvilca

Post on 24-Sep-2015

213 views

Category:

Documents


1 download

DESCRIPTION

laboratorio

TRANSCRIPT

Caso prctico: Enunciado

Pas 3

5. POLTICA DE SEGURIDAD.5.1. Poltica de seguridad de la informacin.5.1.1. Documento de poltica de seguridad de la informacin. (aplicar)Se aplicara para establecer el compromiso de la empresa en cuanto a la seguridad informtica adems de as asegurar las reglas que conduzcan a un buen uso de la informacin, evitando as errores por parte de los usuarios y de los administrador con una probabilidad de 4%, 2.4% en los servidores respectivamente.5.1.2. Revisin de la poltica de seguridad de informacin. (aplicar)Se aplicara para ver si las reglas que tiene la empresa en cuanto a la seguridad de la informacin estn bien definidas o si hay algn cabo suelto; y de ser as reformularlas o agregar otras reglas, evitando as destruccin de la informacin como los expedientes con una probabilidad del 3.6% de que ocurra.

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN6.1. Organizacin interna.6.1.1. Compromiso de la Direccin con la seguridad de la informacin.6.1.2. Coordinacin de la seguridad de la informacin.6.1.3. Asignacin de responsabilidades relativas a la seguridad de la informacin.(aplicar)Se deber asignar responsabilidades al personal idneo para poder hacerse cargo total o por sectores de la seguridad de la informacin, evitando la probabilidad del 40% que haya una difusin de la informacin.6.1.4. Proceso de autorizacin para las nuevas instalaciones de procesamiento de informacin. 6.1.5. Acuerdos de confidencialidad.6.1.6. Contacto con las autoridades.6.1.7. Contacto con grupos de inters especial.6.1.8. Revisin independiente de la seguridad de la informacin.6.2. Seguridad del acceso a terceras partes.6.2.1. Identificacin de riesgos por el acceso de terceros.6.2.2. Requisitos de la seguridad cuando se trata con clientes.6.2.3. Requisitos de seguridad en contratos con terceros.(aplicar)Se deber tener en cuenta las polticas de seguridad cuando se contrate a personas ajenas a la empresa, porque de esa manera se evita el acceso no autorizado a ciertas reas como a los servidores o a las oficinas.

7. GESTIN DE ACTIVOS.7.1. Responsabilidad sobre los activos.7.1.1. Inventario de activos.7.1.2. Propiedad de los activos.7.1.3. Uso aceptable de los activos.7.2. Clasificacin de la informacin.7.2.1. Guas de clasificacin.(aplicar)Se deber aplicar algunas reglas para poder determinar el valor de la informacin que est en la empresa.7.2.2. Etiquetado y tratamiento de la informacin. (aplicar)Se deber aplicar procedimientos para poder clasificar y manejar la informacin.

8. SEGURIDAD EN RECURSOS HUMANOS.8.1. Previo al empleo.8.1.1. Roles y responsabilidades.8.1.2. Investigacin de antecedentes.8.1.3. Trminos y condiciones de la relacin laboral. (aplicar)Se deber explicar y describir en el contrato la responsabilidad en cuando al manejo de la informacin que manejara el empleado a contratar, evitando as en un futuro errores por parte de los nuevos empleados en los expediente o la contabilidad.8.2. Durante el empleo.8.2.1. Gestin de responsabilidades.8.2.2. Concientizacin, educacin y entrenamiento en la seguridad de informacin.(aplicar)Se deber dar a conocer las polticas de seguridad y las nuevas que se adoptan para que lo empleados tengan un conocimiento actualizado de las reglas que tiene la empresa; y as poder estas bien informado en cuanto a la seguridad de la informacin y evitar as la probabilidad del 40% de la difusin de informacin.8.2.3. Proceso disciplinario.8.3. Finalizacin o cambio empleo.8.3.1. Responsabilidad de finalizacin.(aplicar)Se deber informar sobre los incidentes de seguridad que ocurran al personal administrativo lo ms rpido posible para actuar de manera inmediata ante la destruccin o difusin de la informacin.8.3.2. Devolucin de activos.(aplicar)Se deber pedir que al finalizar el contrato el empleado deber devolver los activos que se le haya entregado al momento de su contrato; esto es para evitar el 20% de robo por parte de los empleados al finalizar su contrato.8.3.3. Retirada de los derechos de acceso.(aplicar)Se deber quitar los permisos otorgados una vez que el empleado haya finalizado su contrato, evitando as el 40% de acceso no autorizado realizado por empleados ya no pertenecientes a la empresa.

9. SEGURIDAD FSICA Y DEL ENTORNO.9.1. reas seguras.9.1.1. Seguridad fsica perimetral. (Aplicados)Se encuentra implementado para proteger a la empresa mediante barreras, puertas de control, entre otros elementos existentes para tener un control sobre la seguridad perimetral, disminuyendo as amenazas con fuego o inundaciones. 9.1.2. Controles fsicos de entrada. (Aplicados)Se encuentra implementado para proteger las reas que contienen informacin mediante controles de acceso, evitando as el 20% de robos en la empresa. 9.1.3. Seguridad de oficinas, despachos e instalaciones. (Aplicados)9.1.4. Proteccin contra las amenazas externas y ambientales. (Aplicados)Se encuentran implementadas medidas de prevencin en caso de algn desastre natural, para evitar por ejemplo inundaciones.9.1.5. El trabajo en las reas seguras. (Aplicados)Se encuentran implementadas medidas de proteccin y reglas para trabajos en zonas seguras.9.1.6. reas de carga, descarga y acceso pblico. (Aplicados)Se encuentra implementada para controlar y aislar las reas de carga para que personas no autorizadas tengan acceso a las instalaciones de procesamiento de la informacin, evitando as la probabilidad de 20% de robo, 40% de difusin y 40% de destruccin de la informacin.

9.2. Seguridad de los equipos.9.2.1. Ubicacin y proteccin de equipos.9.2.2. Suministro elctrico.(aplicar)Se deber aplicar un respaldo como seguridad en caso de un corte elctrico para proteger la informacin en caso de corte del fluido elctrico, evitando as el fallo del suministro elctrico en reas como donde se encuentran los servidores y las oficinas, evitando as la probabilidad del 20% de que ocurra dicho fallo.9.2.3. Seguridad del cableado.9.2.4. Mantenimiento de los equipos.9.2.5. Seguridad de los equipos fuera de las instalaciones.9.2.6. Seguridad en el re-uso o eliminacin de equipos9.2.7. Retirada de materiales de propiedad de la empresa.

10. GESTIN DE COMUNICACIONES Y OPERACIONES.10.1. Responsabilidades y procedimientos de operacin.10.1.1. Documentacin de los procedimientos de operacin.10.1.2. Gestin de cambios.(aplicar)Se debern controlar todos los cambios que ocurran en los sistemas de informacin para evitar fallos en la comunicacin por parte de los sistemas de informacin en la red.10.1.3. Segregacin de tareas.10.1.4. Separacin de las instalaciones de desarrollo, prueba y operacin.10.2. Gestin de la provisin de servicios por terceros.10.2.1. Entrega de servicios.10.2.2. Monitoreo y revisin de los servicios prestados por terceros.10.2.3. Gestin del cambio en los servicios prestados por terceros.10.3. Planificacin y aceptacin del sistema.10.3.1. Gestin de capacidades.10.3.2. Aceptacin del sistema.10.4. Proteccin contra el cdigo malicioso y descargable.10.4.1. Controles contra el software malicioso. (Aplicados)Se encuentran implementadas la proteccin contra software malicioso, con procedimientos adecuados y tomas de conciencia de usuarios, de esta manera se evita la probabilidad del 60% de la difusin de software daino en la red.10.4.2. Controles contra el software mvil. (Aplicados)Se encuentra implementado las polticas de seguridad para asegurar que el software mvil opere de forma segura y definida.10.5. Copias de seguridad.10.5.1. Recuperacin de la informacin(Aplicados)Se encuentra implementada la gestin de las copias de seguridad, para restaurar dichas copias de seguridad en caso ocurra la destruccin de la informacin en los servidores.10.6. Gestin de la seguridad de las redes.10.6.1. Controles de red.10.6.2. Seguridad de los servicios de red.10.7. Utilizacin y seguridad de los medios de informacin.10.7.1. Gestin de medios removibles.10.7.2. Eliminacin de medios.10.7.3. Procedimientos de manipulacin de la informacin.10.7.4. Seguridad de la documentacin del sistema.10.8. Intercambio de informacin.10.8.1. Polticas y procedimientos de intercambio de informacin.10.8.2. Acuerdos de intercambio.10.8.3. Seguridad de medios fsicos en trnsito.10.8.4. Seguridad del correo electrnico.10.8.5. Sistemas de informacin empresariales.10.9. Servicios de comercio electrnico.10.9.1. Seguridad en comercio electrnico.10.9.2. Seguridad en las transacciones en lnea.10.9.3. Informacin disponible pblicamente.10.10. Monitoreo.10.10.1. Registros de auditora.(aplicar)Se deber conservar por un periodo descrito en las polticas de seguridad en caso de que se produzca alguna falta, error o fallo en la seguridad.10.10.2. Supervisin del uso del sistema.(aplicar)Se debern seguir reglas establecidas para poder monitorear el sistema y los resultados.10.10.3. Proteccin de la informacin de los registros.(aplicar)Se debern controlar y proteger los accesos a los registros de personas maliciosas.10.10.4. Registros de administracin y operacin.(aplicar)Se deber registrar las actividades de los operadores y del administrador de la empresa.10.10.5. Registro de fallos.(aplicar)Se debern registrar para poder ser analizados y as poder solucionarlos. 10.10.6. Sincronizacin del reloj.(aplicar)Se debern sincronizar todos los relojes de la empresa para un mejor procesamiento de los equipos de la informacin.

11. CONTROL DE ACCESO.11.1. Requisitos de negocio para el control de acceso.11.1.1. Poltica de control de acceso.11.2. Gestin de acceso de usuario.11.2.1. Registro de usuario.(Aplicados)Esta implementado para que el usuario solo disponga del acceso a los servicios que va manejar dentro de la empresa.11.2.2. Gestin de privilegios.(Aplicados)Esta determinado el control de los privilegios de usuario de acuerdo a las polticas de seguridad de la empresa.11.2.3. Gestin de contraseas de usuario.(Aplicados)Esta determinado que las contraseas se podrn asignar por medio de un proceso de gestin formal.11.2.4. Revisin de los derechos de acceso de usuario.11.3. Responsabilidades de usuario.11.3.1. Uso de contraseas.11.3.2. Equipo de usuario desatendido.11.3.3. Poltica de pantalla y escritorio limpio.11.4. Control de acceso a la red.11.4.1. Poltica de uso de los servicios de la red.11.4.2. Autenticacin de usuario para conexiones externas.(aplicar)Se debern aplicar polticas para controlar los mtodos de autentificacin en usuarios remotos, evitando as la probabilidad del 40% de accesos no autorizados.11.4.3. Identificacin de los equipos en las redes.11.4.4. Proteccin de los puertos de diagnstico y configuracin remotos. (aplicar)Se debern implementar medidas de seguridad para controlar el acceso fsico y lgico de la configuracin de los puertos.11.4.5. Segregacin de las redes.11.4.6. Control de la conexin a la red. (aplicar)Se debern hacer cumplir las polticas de seguridad establecidas especialmente con conexiones fuera de la empresa.11.4.7. Control de encaminamiento (routing) de red.11.5. Control de acceso al sistema operativo.11.5.1. Procedimientos seguros de inicio de sesin. (Aplicados)Se usa procedimientos de login para poder ingresar a los servicios de la empresa.11.5.2. Identificacin y autenticacin de usuario. (Aplicados)Toso los usuarios cuentan con un tipo de identificador nico que les permite poder acceder a los recursos de la red.11.5.3. Sistema de gestin de contraseas. (Aplicados)La empresa tiene un medio de gestin de contraseas que provee medios efectivos de asegurar la calidad de la contrasea. 11.5.4. Uso de los recursos del sistema.(Aplicados)Se controla y registra las aplicaciones para que el sistema no fuerce su rendimiento.11.5.5. Desconexin automtica de sesin.(Aplicados)Est configurado para que si algn usuario este inactivo por un cierto periodo de tiempo este cierre sesin automticamente para evitar la indisponibilidad del personal del 20%. 11.5.6. Limitacin del tiempo de conexin.(Aplicados)Esta establecido un lmite de tiempo en alguna aplicaciones para poder asegurar el sistema.11.6. Control de acceso a las aplicaciones y a la informacin.11.6.1. Restriccin del acceso a la informacin.(aplicar)Se deber aplicar restricciones a algunos usuarios para tener un mejor rendimiento y seguridad del sistema, evitando as la probabilidad de destruccin de informacin o difusin de la misma.11.6.2. Aislamiento de sistemas sensibles.11.7. Ordenadores porttiles y teletrabajo.11.7.1. Informtica y comunicaciones mviles.11.7.2. Teletrabajo.

12. ADQUISICIN DE SISTEMAS DE INFORMACION, DESARROLLO Y MANTENIMIENTO.12.1. Requisitos de seguridad de los sistemas de informacin.12.1.1. Anlisis y especificacin de los requisitos de seguridad.12.2. Proceso correcto en aplicaciones.12.2.1. Validacin de los datos de entrada. (Aplicados)Se validad el ingreso de datos al sistema para asegurar que sean correctos.12.2.2. Control del procesamiento interno.12.2.3. Integridad de los mensajes.12.2.4. Validacin de los datos de salida.12.3. Controles criptogrficos.12.3.1. Poltica de uso de los controles criptogrficos.12.3.2. Gestin de claves.12.4. Seguridad de los archivos de sistema.12.4.1. Control del software en produccin.(aplicar)Se deber controlar la implementacin del software del sistema de operaciones, para evitar la difusin de software daino en los servidores de la empresa.12.4.2. Proteccin de los datos de prueba del sistema.12.4.3. Control de acceso a la librera de programas fuente.12.5. Seguridad en los procesos de desarrollo y soporte.12.5.1. Procedimientos de control de cambios. (aplicar)Se debern controlar los cambios de forma estricta de acuerdo con las polticas de seguridad.12.5.2. Revisin tcnica de los cambios en el sistema operativo.(aplicar)Se debern probar las aplicaciones en cuanto se haga cambio del SO para que no haya complicaciones con las operaciones de la empresa, esto es para evitar fallas en el mantenimiento del software.12.5.3. Restricciones en los cambios a los paquetes de software. (aplicar)No se debern eliminar las modificaciones en los paquetes. Solo se deben hacer los cambios necesarios y deben ser controlados estrictamente.12.5.4. Fuga de informacin.12.5.5. Externalizacin del desarrollo de software.12.6. Gestin de la vulnerabilidad tcnica.12.6.1. Control de las vulnerabilidades tcnicas.

13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.13.1. Reportando eventos y debilidades en la seguridad de informacin.13.1.1. Reportando eventos de la seguridad de informacin. (Aplicados)Los problemas o alguna situacin que pase en que afecte a la seguridad de la informacin son comunicados de manera rpida y apropiada; para actuar rpidamente en contra de una destruccin o difusin de la informacin.13.1.2. Reportando debilidades de seguridad. (Aplicados)Todos los empleados estn obligados a reportar cualquier debilidad de seguridad que noten o encuentren en el sistema.13.2. Gestin de incidentes y mejoras en la seguridad de informacin.13.2.1. Responsabilidades y procedimientos. (Aplicadas)Estn dispuestos procedimientos que se adoptan cuando pasen incidentes que afecten a la seguridad de la informacin.13.2.2. Aprendiendo de los incidentes en la seguridad de informacin. (Aplicados)Existen algunos mecanismos que monitorean y determinan los tipos de incidentes de seguridad de la informacin, como por ejemplo los erros de los usuarios o los errores del administrador.

13.2.3. Recopilacin de evidencias. (Aplicados)Est escrito que de existir un incidente, se debe recolectar y presentar evidencia conforme las reglas lo dicen.

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO.14.1. Aspectos de la gestin de continuidad del negocio en la seguridad de informacin.14.1.1. Incluyendo la seguridad de la informacin en la gestin de la continuidad del negocio.(aplicar)Se debern establecer procedimientos y responsabilidades de gestin con el fin de asegurar una respuesta rpida antes incidentes de seguridad de la informacin. 14.1.2. Continuidad del negocio y evaluacin de riesgos.(aplicar)Se deber identificar las causas de interrupciones en los procesos del negocio as como medir el impacto y probabilidades de dichas interrupciones en la seguridad de la informacin, de esta manera evitar la probabilidad del 80% de errores organizativos.14.1.3. Desarrollando e implantando planes de continuidad que incluyen la seguridad de la informacin.(aplicar)Se deber desarrollar un plan para mantener la disponibilidad de las operaciones de la informacin, evitando as el dao de las comunicaciones y errores organizacionales.14.1.4. Marco de planificacin de la continuidad del negocio. (aplicar)Para esto se deber hacer planes para la continuidad del negocio haciendo pruebas y mantenimiento a la seguridad de la informacin. Todo esto se realiza para evitar fallos en el mantenimiento de hardware y software.14.1.5. Probando, manteniendo y reevaluando los planes de continuidad del negocio. (aplicar)Se debern actualizar peridicamente los planes de continuidad del negocio de manera que aseguren su continuidad.

15. CUMPLIMIENTO.15.1. Cumplimiento de los requisitos legales.15.1.1. Identificacin de la legislacin aplicable.15.1.2. Derechos de propiedad intelectual (DPI).15.1.3. Salvaguarda de los registros de la organizacin.15.1.4. Proteccin de los datos y privacidad de la informacin personal.15.1.5. Prevencin en el mal uso de las instalaciones de procesamiento de la informacin.15.1.6. Regulacin de los controles criptogrficos.15.2. Cumplimiento con las polticas y estndares de seguridad y del cumplimiento tcnico.15.2.1. Cumplimiento de las polticas y normas de seguridad.15.2.2. Comprobacin del cumplimiento tcnico.15.3. Consideraciones sobre las auditoras de sistemas.15.3.1. Controles de auditora de sistemas.15.3.2. Proteccin de las herramientas de auditora de los sistemas de informacin.