sistema de gestión de la seguridad de la información

Upload: julio-g-isla

Post on 07-Jan-2016

221 views

Category:

Documents


0 download

DESCRIPTION

Caso de Estudio para establecer un SGSI

TRANSCRIPT

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    1/15

    Seguridad de la Informacin

    SGSIIng. Diaz Roncal, Eduardo

    Ing. Fernandez Alquizar, Manuel

    Ing. Grados Atoche, uan

    Ing. Isla Goicochea, ulio

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    2/15

    Seguridad de la Informacin

    Determinacin del Alcance:Determinacin del Alcance:

    El !roceso a im!lementar es el "Desarrollo # $ase a $roduccin

    $lanificado % &rgente' que (iene hacer el con)unto de tareasdestinadas a im!lementar un !aquete de desarrollo en el

    am*iente de !roduccin a !artir de un requerimiento de usuario

    !re(iamente !lanificado.

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    3/15

    Seguridad de la Informacin

    Mtodo de los Elipses:Mtodo de los Elipses:

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    4/15

    Seguridad de la Informacin

    POLTICA DE SEGUIDAD:POLTICA DE SEGUIDAD:

    $+I-IA +/E-I0+S I1DIAD+RES +-A

    En la 2Em!resa omercio 3

    IA S.A.2 reconocemos la

    im!ortancia de identificar #

    !roteger los acti(os de

    informacin !ara as4 e(itar la

    mani!ulacin #5o utilizacin no

    autorizada de toda la

    informacin rele(ante de la

    em!resa que !ueda generar un

    im!acto negati(o en el

    negocio. $or eso nos

    com!rometemos a desarrollar,

    im!lantar, mantener # me)orar

    continuamente el Sistema de

    Seguridad de la Informacin

    6SGSI7 !ara asegurar la

    integridad, confidencialidad #

    dis!oni*ilidad de la

    informacin.

    Identificar y proteger activos de

    informacin

    Nmero de incidentes de

    seguridad de la informacin por

    activo de informacin en el ao

    1 a 2 - Muy Bien

    3 a 4 - cepta!le

    " a # - Inacepta!le

    $erificar el cumplimiento de

    controles

    implementados

    Numero de no conformidades

    so!re el nmero de controles

    implementados

    %& '() cepta!le

    *rear una *ultura de +eguridad

    de

    la Informacin

    ,ncuestas a usuarios satisfecos

    entre total de encuestas%& #() cepta!le

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    5/15

    Seguridad de la Informacin

    IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:

    N. ctivos de Informacion

    /roceso de 0esarrollo de+istemas

    +u!-/rocesos

    0esarrollo y /ase a /roduccin/lanificado - rgente

    1 ica de *asos de /rue!a

    2 efe de 0esarrollo

    3 efe de /roduccin 4 dministrador de Base de 0atos

    " +ervidor de plicaciones

    # nalista /rogramador

    5 *oordinador de /rue!as

    ' Bit6cora de re7uerimiento de usuario

    8 9ficial de +eguridad

    1( ,st6ndares de /rogramacin

    11 Base de 0atos de /roduccin 12 +ervidor de Base de 0atos de :

    13 Bitacora de pases a produccin

    14 Base de 0atos de :

    1" Base de 0atos de :B

    1# Bitacora de desarrollo

    15 *odigo fuente ;pa7uete de desarrollo<

    1' +ervidor de Base de 0atos de :B

    18 +ervidor de Base de 0atos de /roduccin

    2( +ervidor de rcivos

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    6/15

    Seguridad de la Informacin

    TASACI#! DE ACTI$OS:TASACI#! DE ACTI$OS:

    N Activos de Informacion

    Tasacin

    Condencialidad

    Integridad

    Disponibilidad

    Total

    1 Ficha de Casos de Prueba 3 4 4 42 Jefe de Desarrollo 4 3 4 43 Jefe de Produccin 4 3 4 44 Administrador de Base de Datos 4 4 4 45 Seridor de A!licaciones 2 2 2 2" Analista Pro#ramador 3 3 3 3$ Coordinador de Pruebas 4 4 4 4

    % Bit&cora de re'uerimiento de usuario 3 3 4 3

    ( )*cial de Se#uridad 4 4 4 4

    1+ ,st&ndares de Pro#ramacin 4 4 4 4

    11 Seridor de Base de Datos de -A 2 2 2 212 Bitacora de !ases a !roduccin 3 3 4 3

    13 Bitacora de desarrollo 3 3 4 3

    14 Codi#o fuente .!a'uete de desarrollo/ 4 4 4 4

    15 Seridor de Base de Datos de -B 2 2 2 2

    1" Seridor de Base de Datos de Produccin 2 2 2 2

    1$ Seridor de Archios 2 2 2 2

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    7/15

    Seguridad de la Informacin

    POPIETAIOS:POPIETAIOS:

    N

    Activos de Informacion Propietarios

    1 Ficha de Casos de Prueba Analista Programador2 Jefe de Desarrollo erencia de !istemas3 Jefe de Produccin erencia de !istemas4 Administrador de Base de Datos "efe de Prod#ccin

    5 Seridor de A!licaciones "efe de !oporte TI" Analista Pro#ramador "efe de Desarrollo$ Coordinador de Pruebas "efe de Prod#ccin% Bit&cora de re'uerimiento de usuario "efe de Desarrollo( )*cial de Se#uridad erencia de !istemas1+

    ,st&ndares de Pro#ramacin "efe de Desarrollo

    11 Seridor de Base de Datos de -A "efe de Desarrollo

    12

    Bitacora de !ases a !roduccin "efe de Prod#ccin

    13

    Bitacora de desarrollo "efe de Desarrollo

    14

    Codi#o fuente .!a'uete de desarrollo/ "efe de Desarrollo

    15

    Seridor de Base de Datos de -B "efe de !oporte

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    8/15

    Seguridad de la Informacin

    A!%LISIS DE IESGOS:A!%LISIS DE IESGOS:

    NActivos

    deInformacion

    Amena$as % lnerabilidad

    Amena$as Probabilidad de 'c#rrencia lnerabilidadProbabilidad de 'c#rrencia (#e la amena$a

    e%plota la v#lnerabilidad

    1 Ficha de Casos de PruebaDescri!cin incorrecta de la

    !rueba a 0ealiar3 Falta de Ca!acitacin 2

    2 Jefe de Desarrollo Prdida de Personal 2 ,m!leados desmotiados 2

    3 Jefe de Produccin Prdida de Personal 2 ,m!leados desmotiados 2

    4 Administrador de Base de Datos Prdida de Personal 2 ,m!leados desmotiados 2

    5 Seridor de A!licaciones

    Fallas de ardare 2 Falta de mantenimiento3

    Fallas de Softare 2Falta de actualiaciones del S+

    2

    Fallas en la red 3estin de 0ed inadecuada !or !arte

    de los !roeedores .6)7/ 4

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    " Analista Pro#ramador

    Prdida de Personal 2 ,m!leados desmotiados 2

    0obo de 8nformacin 3 Falta de Pol9ticas de Se#uridad 4

    $ Coordinador de Pruebas Prdida de Personal 2 ,m!leados desmotiados 2

    % Bit&cora de re'uerimiento de usuario Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

    ( )*cial de Se#uridad Prdida de Personal 2 ,m!leados desmotiados 2

    1+ ,st&ndares de Pro#ramacin Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

    11 Seridor de Base de Datos de -A

    Fallas de Softare 2Falta de actualiaciones del S+

    2

    Fallas de ardare 2 Falta de mantenimiento2

    Fallas en la red 2 estin de 0ed inadecuada 2

    Perdida de Datos 2 Pol9tica incorrecta !ara el control de accesos2

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    12 Bitacora de !ases a !roduccin Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

    2

    13 Bitacora de desarrollo Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

    2

    14 Codi#o Fuente .!a'uete de desarrollo/

    ac=in# 2 Falta de !roteccin de redes !>blicas 2

    Falla de ardare 2 Falta de 6antenimiento2

    Falla de Softare 2 Falta de actualiaciones del S+2

    Falla de 0ed 2 estin de red de inadecuada 2

    0obo de 8nformacin 2Falta de Pol9ticas de Se#uridad 2

    15 Seridor de Base de Datos de -B

    Fallas de ardare 2Falta de mantenimiento

    2

    Fallas de Softare 2 Falta de actualiaciones del S+2

    Fallas en la red 2 estin de 0ed inadecuada 2

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    Perdida de Acceso 2:o reision de los derechos ; roles de accesos

    a usuarios

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    9/15

    Seguridad de la Informacin

    C%LCULO DE IESGOS:C%LCULO DE IESGOS:

    N.ctivos

    deInformacion

    mena=as/ro!a!ilidad

    de9currencia

    $ulnera!ilidad/ro!a!ilidad de 9currencia

    7uela amena=a eplotela vulnera!ilidad

    /ro!a!ilida de 9currenciade lamena=a

    Impactode la

    mena=a>i es go / ri or ida d

    1 ica de *asos de /rue!a0escripcin incorrecta de la

    prue!a a >eali=ar3 alta de *apacitacion 2 2 4 # 1(

    2 efe de 0esarrollo /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 11

    3 efe de /roduccin /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 12

    4 dministrador de Base de 0atos /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 13

    " +ervidor de plicaciones

    allas de @ardAare 2 alta de mantenimiento 3

    4 2 ' "

    allas de +oftAare 2altade actuali=aciones del +istema 9perativo

    2

    allas en la red 3estin de >edinadecuada por parte

    de los proveedores ;M9$o!o de Informacin 3 alta de /olCticas de +eguridad 4

    5 *oordinador de /rue!as /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' '

    ' Bit6cora de re7uerimiento de usuario /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 3 # 14

    8 9ficial de +eguridad /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' 5

    1( ,st6ndares de /rogramacin /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 4 ' 2

    11 +ervidor de Base de 0atos de :

    allas de +oftAare 2altade actuali=aciones del +istema 9perativo

    2

    2 2 4 1#

    allas de @ardAare 2 alta de mantenimiento 2

    allas en la red 2 estin de >ed inadecuada 2

    /erdida de 0atos 2 /olCtica incorrecta para el control de accesos 2

    0esastre natural 2 alta de proteccion contra desastres naturales2

    12 Bitacora de pases a produccin /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

    2 2 3 # 8

    13 Bitacora de desarrollo /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

    2 2 3 # 1"

    14 *odigo uente ;pa7uet ede desarrolloedinadecuada por parte

    de los proveedores ;M9$edinadecuada por parte

    de los proveedores ;M9$>@@Jefe de 0esarrollo 1J1J2(1#

    F'F2 F'F2F2 0esarrollo /olitica de capacitacion efe de 0esarrollo 1"J"J2(1#

    F'F2 F'F2F3 0esarrollo/rocedimiento de

    violacion de la seguridad efe de >>@@Jefe de 0esarrollo 1"J#J2(1#

    F'F3 F'F3F3 0esarrollo/rocedimiento de derecos

    de accesoefe de 0esarrollo 1"J#J2(1#

    # *oordinador de /rue!asF'F2 A@%@2@2 *ontrol de *alidad /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J5J2(1#

    5 9fi ci al de +eguri dadF'F2 A@%@2@2 +istemas /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J'J2(1#

    ' *odigo uente ;pa7uete de desarrol lo>@@Jefe de 0esarrollo 1J1J2(1#

    F1(F5 F1(F5F3 0esarrollo/rocedimiento para el maneKo y

    almacenamiento de la informacion efe de 0esarrollo 1J1J2(1#