sistema de gestión de la seguridad de la información

7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

1/15

Seguridad de la Informacin

SGSIIng. Diaz Roncal, Eduardo

Ing. Fernandez Alquizar, Manuel

Ing. Grados Atoche, uan

Ing. Isla Goicochea, ulio


2/15


Determinacin del Alcance:Determinacin del Alcance:

El !roceso a im!lementar es el "Desarrollo # $ase a $roduccin

$lanificado % &rgente' que (iene hacer el con)unto de tareasdestinadas a im!lementar un !aquete de desarrollo en el

am*iente de !roduccin a !artir de un requerimiento de usuario

!re(iamente !lanificado.


3/15


Mtodo de los Elipses:Mtodo de los Elipses:


4/15


POLTICA DE SEGUIDAD:POLTICA DE SEGUIDAD:

$+I-IA +/E-I0+S I1DIAD+RES +-A

En la 2Em!resa omercio 3

IA S.A.2 reconocemos la

im!ortancia de identificar #

!roteger los acti(os de

informacin !ara as4 e(itar la

mani!ulacin #5o utilizacin no

autorizada de toda la

informacin rele(ante de la

em!resa que !ueda generar un

im!acto negati(o en el

negocio. $or eso nos

com!rometemos a desarrollar,

im!lantar, mantener # me)orar

continuamente el Sistema de


6SGSI7 !ara asegurar la

integridad, confidencialidad #

dis!oni*ilidad de la

informacin.

Identificar y proteger activos de

informacin

Nmero de incidentes de

seguridad de la informacin por

activo de informacin en el ao

1 a 2 - Muy Bien

3 a 4 - cepta!le

" a # - Inacepta!le

$erificar el cumplimiento de

controles

implementados

Numero de no conformidades

so!re el nmero de controles

implementados

%& '() cepta!le

*rear una *ultura de +eguridad

de

la Informacin

,ncuestas a usuarios satisfecos

entre total de encuestas%& #() cepta!le


5/15


IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:

N. ctivos de Informacion

/roceso de 0esarrollo de+istemas

+u!-/rocesos

0esarrollo y /ase a /roduccin/lanificado - rgente

1 ica de *asos de /rue!a

2 efe de 0esarrollo

3 efe de /roduccin 4 dministrador de Base de 0atos

" +ervidor de plicaciones

# nalista /rogramador

5 *oordinador de /rue!as

' Bit6cora de re7uerimiento de usuario

8 9ficial de +eguridad

1( ,st6ndares de /rogramacin

11 Base de 0atos de /roduccin 12 +ervidor de Base de 0atos de :

13 Bitacora de pases a produccin

14 Base de 0atos de :

1" Base de 0atos de :B

1# Bitacora de desarrollo

15 *odigo fuente ;pa7uete de desarrollo<

1' +ervidor de Base de 0atos de :B

18 +ervidor de Base de 0atos de /roduccin

2( +ervidor de rcivos


6/15


TASACI#! DE ACTI$OS:TASACI#! DE ACTI$OS:

N Activos de Informacion

Tasacin

Condencialidad

Integridad

Disponibilidad

Total

1 Ficha de Casos de Prueba 3 4 4 42 Jefe de Desarrollo 4 3 4 43 Jefe de Produccin 4 3 4 44 Administrador de Base de Datos 4 4 4 45 Seridor de A!licaciones 2 2 2 2" Analista Pro#ramador 3 3 3 3$ Coordinador de Pruebas 4 4 4 4

% Bit&cora de re'uerimiento de usuario 3 3 4 3

( )*cial de Se#uridad 4 4 4 4

1+ ,st&ndares de Pro#ramacin 4 4 4 4

11 Seridor de Base de Datos de -A 2 2 2 212 Bitacora de !ases a !roduccin 3 3 4 3

13 Bitacora de desarrollo 3 3 4 3

14 Codi#o fuente .!a'uete de desarrollo/ 4 4 4 4

15 Seridor de Base de Datos de -B 2 2 2 2

1" Seridor de Base de Datos de Produccin 2 2 2 2

1$ Seridor de Archios 2 2 2 2


7/15


POPIETAIOS:POPIETAIOS:

N

Activos de Informacion Propietarios

1 Ficha de Casos de Prueba Analista Programador2 Jefe de Desarrollo erencia de !istemas3 Jefe de Produccin erencia de !istemas4 Administrador de Base de Datos "efe de Prod#ccin

5 Seridor de A!licaciones "efe de !oporte TI" Analista Pro#ramador "efe de Desarrollo$ Coordinador de Pruebas "efe de Prod#ccin% Bit&cora de re'uerimiento de usuario "efe de Desarrollo( )*cial de Se#uridad erencia de !istemas1+

,st&ndares de Pro#ramacin "efe de Desarrollo

11 Seridor de Base de Datos de -A "efe de Desarrollo

12

Bitacora de !ases a !roduccin "efe de Prod#ccin

13

Bitacora de desarrollo "efe de Desarrollo

14

Codi#o fuente .!a'uete de desarrollo/ "efe de Desarrollo

15

Seridor de Base de Datos de -B "efe de !oporte


8/15


A!%LISIS DE IESGOS:A!%LISIS DE IESGOS:

NActivos

deInformacion

Amena$as % lnerabilidad

Amena$as Probabilidad de 'c#rrencia lnerabilidadProbabilidad de 'c#rrencia (#e la amena$a

e%plota la v#lnerabilidad

1 Ficha de Casos de PruebaDescri!cin incorrecta de la

!rueba a 0ealiar3 Falta de Ca!acitacin 2

2 Jefe de Desarrollo Prdida de Personal 2 ,m!leados desmotiados 2

3 Jefe de Produccin Prdida de Personal 2 ,m!leados desmotiados 2

4 Administrador de Base de Datos Prdida de Personal 2 ,m!leados desmotiados 2

5 Seridor de A!licaciones

Fallas de ardare 2 Falta de mantenimiento3

Fallas de Softare 2Falta de actualiaciones del S+

2

Fallas en la red 3estin de 0ed inadecuada !or !arte

de los !roeedores .6)7/ 4

Desastre natural 2 Falta de !roteccion contra d esastres naturales2

" Analista Pro#ramador

Prdida de Personal 2 ,m!leados desmotiados 2

0obo de 8nformacin 3 Falta de Pol9ticas de Se#uridad 4

$ Coordinador de Pruebas Prdida de Personal 2 ,m!leados desmotiados 2

% Bit&cora de re'uerimiento de usuario Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

( )*cial de Se#uridad Prdida de Personal 2 ,m!leados desmotiados 2

1+ ,st&ndares de Pro#ramacin Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

11 Seridor de Base de Datos de -A

Fallas de Softare 2Falta de actualiaciones del S+

2

Fallas de ardare 2 Falta de mantenimiento2

Fallas en la red 2 estin de 0ed inadecuada 2

Perdida de Datos 2 Pol9tica incorrecta !ara el control de accesos2


12 Bitacora de !ases a !roduccin Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

2

13 Bitacora de desarrollo Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

2

14 Codi#o Fuente .!a'uete de desarrollo/

ac=in# 2 Falta de !roteccin de redes !>blicas 2

Falla de ardare 2 Falta de 6antenimiento2

Falla de Softare 2 Falta de actualiaciones del S+2

Falla de 0ed 2 estin de red de inadecuada 2

0obo de 8nformacin 2Falta de Pol9ticas de Se#uridad 2

15 Seridor de Base de Datos de -B

Fallas de ardare 2Falta de mantenimiento

2

Fallas de Softare 2 Falta de actualiaciones del S+2

Fallas en la red 2 estin de 0ed inadecuada 2


Perdida de Acceso 2:o reision de los derechos ; roles de accesos

a usuarios


9/15


C%LCULO DE IESGOS:C%LCULO DE IESGOS:

N.ctivos

deInformacion

mena=as/ro!a!ilidad

de9currencia

$ulnera!ilidad/ro!a!ilidad de 9currencia

7uela amena=a eplotela vulnera!ilidad

/ro!a!ilida de 9currenciade lamena=a

Impactode la

mena=a>i es go / ri or ida d

1 ica de *asos de /rue!a0escripcin incorrecta de la

prue!a a >eali=ar3 alta de *apacitacion 2 2 4 # 1(

2 efe de 0esarrollo /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 11

3 efe de /roduccin /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 12

4 dministrador de Base de 0atos /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 13

" +ervidor de plicaciones

allas de @ardAare 2 alta de mantenimiento 3

4 2 ' "

allas de +oftAare 2altade actuali=aciones del +istema 9perativo

2

allas en la red 3estin de >edinadecuada por parte

de los proveedores ;M9$o!o de Informacin 3 alta de /olCticas de +eguridad 4

5 *oordinador de /rue!as /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' '

' Bit6cora de re7uerimiento de usuario /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 3 # 14

8 9ficial de +eguridad /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' 5

1( ,st6ndares de /rogramacin /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 4 ' 2

11 +ervidor de Base de 0atos de :

allas de +oftAare 2altade actuali=aciones del +istema 9perativo

2

2 2 4 1#

allas de @ardAare 2 alta de mantenimiento 2

allas en la red 2 estin de >ed inadecuada 2

/erdida de 0atos 2 /olCtica incorrecta para el control de accesos 2

0esastre natural 2 alta de proteccion contra desastres naturales2

12 Bitacora de pases a produccin /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

2 2 3 # 8

13 Bitacora de desarrollo /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

2 2 3 # 1"

14 *odigo uente ;pa7uet ede desarrolloedinadecuada por parte

de los proveedores ;M9$edinadecuada por parte

de los proveedores ;M9$>@@Jefe de 0esarrollo 1J1J2(1#

F'F2 F'F2F2 0esarrollo /olitica de capacitacion efe de 0esarrollo 1"J"J2(1#

F'F2 F'F2F3 0esarrollo/rocedimiento de

violacion de la seguridad efe de >>@@Jefe de 0esarrollo 1"J#J2(1#

F'F3 F'F3F3 0esarrollo/rocedimiento de derecos

de accesoefe de 0esarrollo 1"J#J2(1#

# *oordinador de /rue!asF'F2 A@%@2@2 *ontrol de *alidad /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J5J2(1#

5 9fi ci al de +eguri dadF'F2 A@%@2@2 +istemas /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J'J2(1#

' *odigo uente ;pa7uete de desarrol lo>@@Jefe de 0esarrollo 1J1J2(1#

F1(F5 F1(F5F3 0esarrollo/rocedimiento para el maneKo y

almacenamiento de la informacion efe de 0esarrollo 1J1J2(1#

sistema de gestión de la seguridad de la información

Documents