Sistema de Gestión de la Seguridad de la Información
of 15
-
Upload
julio-g-isla -
Category
Documents
-
view
221 -
download
0
description
Caso de Estudio para establecer un SGSI
Transcript of Sistema de Gestión de la Seguridad de la Información
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
1/15
Seguridad de la Informacin
SGSIIng. Diaz Roncal, Eduardo
Ing. Fernandez Alquizar, Manuel
Ing. Grados Atoche, uan
Ing. Isla Goicochea, ulio
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
2/15
Seguridad de la Informacin
Determinacin del Alcance:Determinacin del Alcance:
El !roceso a im!lementar es el "Desarrollo # $ase a $roduccin
$lanificado % &rgente' que (iene hacer el con)unto de tareasdestinadas a im!lementar un !aquete de desarrollo en el
am*iente de !roduccin a !artir de un requerimiento de usuario
!re(iamente !lanificado.
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
3/15
Seguridad de la Informacin
Mtodo de los Elipses:Mtodo de los Elipses:
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
4/15
Seguridad de la Informacin
POLTICA DE SEGUIDAD:POLTICA DE SEGUIDAD:
$+I-IA +/E-I0+S I1DIAD+RES +-A
En la 2Em!resa omercio 3
IA S.A.2 reconocemos la
im!ortancia de identificar #
!roteger los acti(os de
informacin !ara as4 e(itar la
mani!ulacin #5o utilizacin no
autorizada de toda la
informacin rele(ante de la
em!resa que !ueda generar un
im!acto negati(o en el
negocio. $or eso nos
com!rometemos a desarrollar,
im!lantar, mantener # me)orar
continuamente el Sistema de
Seguridad de la Informacin
6SGSI7 !ara asegurar la
integridad, confidencialidad #
dis!oni*ilidad de la
informacin.
Identificar y proteger activos de
informacin
Nmero de incidentes de
seguridad de la informacin por
activo de informacin en el ao
1 a 2 - Muy Bien
3 a 4 - cepta!le
" a # - Inacepta!le
$erificar el cumplimiento de
controles
implementados
Numero de no conformidades
so!re el nmero de controles
implementados
%& '() cepta!le
*rear una *ultura de +eguridad
de
la Informacin
,ncuestas a usuarios satisfecos
entre total de encuestas%& #() cepta!le
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
5/15
Seguridad de la Informacin
IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:
N. ctivos de Informacion
/roceso de 0esarrollo de+istemas
+u!-/rocesos
0esarrollo y /ase a /roduccin/lanificado - rgente
1 ica de *asos de /rue!a
2 efe de 0esarrollo
3 efe de /roduccin 4 dministrador de Base de 0atos
" +ervidor de plicaciones
# nalista /rogramador
5 *oordinador de /rue!as
' Bit6cora de re7uerimiento de usuario
8 9ficial de +eguridad
1( ,st6ndares de /rogramacin
11 Base de 0atos de /roduccin 12 +ervidor de Base de 0atos de :
13 Bitacora de pases a produccin
14 Base de 0atos de :
1" Base de 0atos de :B
1# Bitacora de desarrollo
15 *odigo fuente ;pa7uete de desarrollo<
1' +ervidor de Base de 0atos de :B
18 +ervidor de Base de 0atos de /roduccin
2( +ervidor de rcivos
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
6/15
Seguridad de la Informacin
TASACI#! DE ACTI$OS:TASACI#! DE ACTI$OS:
N Activos de Informacion
Tasacin
Condencialidad
Integridad
Disponibilidad
Total
1 Ficha de Casos de Prueba 3 4 4 42 Jefe de Desarrollo 4 3 4 43 Jefe de Produccin 4 3 4 44 Administrador de Base de Datos 4 4 4 45 Seridor de A!licaciones 2 2 2 2" Analista Pro#ramador 3 3 3 3$ Coordinador de Pruebas 4 4 4 4
% Bit&cora de re'uerimiento de usuario 3 3 4 3
( )*cial de Se#uridad 4 4 4 4
1+ ,st&ndares de Pro#ramacin 4 4 4 4
11 Seridor de Base de Datos de -A 2 2 2 212 Bitacora de !ases a !roduccin 3 3 4 3
13 Bitacora de desarrollo 3 3 4 3
14 Codi#o fuente .!a'uete de desarrollo/ 4 4 4 4
15 Seridor de Base de Datos de -B 2 2 2 2
1" Seridor de Base de Datos de Produccin 2 2 2 2
1$ Seridor de Archios 2 2 2 2
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
7/15
Seguridad de la Informacin
POPIETAIOS:POPIETAIOS:
N
Activos de Informacion Propietarios
1 Ficha de Casos de Prueba Analista Programador2 Jefe de Desarrollo erencia de !istemas3 Jefe de Produccin erencia de !istemas4 Administrador de Base de Datos "efe de Prod#ccin
5 Seridor de A!licaciones "efe de !oporte TI" Analista Pro#ramador "efe de Desarrollo$ Coordinador de Pruebas "efe de Prod#ccin% Bit&cora de re'uerimiento de usuario "efe de Desarrollo( )*cial de Se#uridad erencia de !istemas1+
,st&ndares de Pro#ramacin "efe de Desarrollo
11 Seridor de Base de Datos de -A "efe de Desarrollo
12
Bitacora de !ases a !roduccin "efe de Prod#ccin
13
Bitacora de desarrollo "efe de Desarrollo
14
Codi#o fuente .!a'uete de desarrollo/ "efe de Desarrollo
15
Seridor de Base de Datos de -B "efe de !oporte
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
8/15
Seguridad de la Informacin
A!%LISIS DE IESGOS:A!%LISIS DE IESGOS:
NActivos
deInformacion
Amena$as % lnerabilidad
Amena$as Probabilidad de 'c#rrencia lnerabilidadProbabilidad de 'c#rrencia (#e la amena$a
e%plota la v#lnerabilidad
1 Ficha de Casos de PruebaDescri!cin incorrecta de la
!rueba a 0ealiar3 Falta de Ca!acitacin 2
2 Jefe de Desarrollo Prdida de Personal 2 ,m!leados desmotiados 2
3 Jefe de Produccin Prdida de Personal 2 ,m!leados desmotiados 2
4 Administrador de Base de Datos Prdida de Personal 2 ,m!leados desmotiados 2
5 Seridor de A!licaciones
Fallas de ardare 2 Falta de mantenimiento3
Fallas de Softare 2Falta de actualiaciones del S+
2
Fallas en la red 3estin de 0ed inadecuada !or !arte
de los !roeedores .6)7/ 4
Desastre natural 2 Falta de !roteccion contra d esastres naturales2
" Analista Pro#ramador
Prdida de Personal 2 ,m!leados desmotiados 2
0obo de 8nformacin 3 Falta de Pol9ticas de Se#uridad 4
$ Coordinador de Pruebas Prdida de Personal 2 ,m!leados desmotiados 2
% Bit&cora de re'uerimiento de usuario Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2
( )*cial de Se#uridad Prdida de Personal 2 ,m!leados desmotiados 2
1+ ,st&ndares de Pro#ramacin Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2
11 Seridor de Base de Datos de -A
Fallas de Softare 2Falta de actualiaciones del S+
2
Fallas de ardare 2 Falta de mantenimiento2
Fallas en la red 2 estin de 0ed inadecuada 2
Perdida de Datos 2 Pol9tica incorrecta !ara el control de accesos2
Desastre natural 2 Falta de !roteccion contra d esastres naturales2
12 Bitacora de !ases a !roduccin Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion
2
13 Bitacora de desarrollo Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion
2
14 Codi#o Fuente .!a'uete de desarrollo/
ac=in# 2 Falta de !roteccin de redes !>blicas 2
Falla de ardare 2 Falta de 6antenimiento2
Falla de Softare 2 Falta de actualiaciones del S+2
Falla de 0ed 2 estin de red de inadecuada 2
0obo de 8nformacin 2Falta de Pol9ticas de Se#uridad 2
15 Seridor de Base de Datos de -B
Fallas de ardare 2Falta de mantenimiento
2
Fallas de Softare 2 Falta de actualiaciones del S+2
Fallas en la red 2 estin de 0ed inadecuada 2
Desastre natural 2 Falta de !roteccion contra d esastres naturales2
Perdida de Acceso 2:o reision de los derechos ; roles de accesos
a usuarios
-
7/17/2019 Sistema de Gestin de la Seguridad de la Informacin
9/15
Seguridad de la Informacin
C%LCULO DE IESGOS:C%LCULO DE IESGOS:
N.ctivos
deInformacion
mena=as/ro!a!ilidad
de9currencia
$ulnera!ilidad/ro!a!ilidad de 9currencia
7uela amena=a eplotela vulnera!ilidad
/ro!a!ilida de 9currenciade lamena=a
Impactode la
mena=a>i es go / ri or ida d
1 ica de *asos de /rue!a0escripcin incorrecta de la
prue!a a >eali=ar3 alta de *apacitacion 2 2 4 # 1(
2 efe de 0esarrollo /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 11
3 efe de /roduccin /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 12
4 dministrador de Base de 0atos /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 13
" +ervidor de plicaciones
allas de @ardAare 2 alta de mantenimiento 3
4 2 ' "
allas de +oftAare 2altade actuali=aciones del +istema 9perativo
2
allas en la red 3estin de >edinadecuada por parte
de los proveedores ;M9$o!o de Informacin 3 alta de /olCticas de +eguridad 4
5 *oordinador de /rue!as /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' '
' Bit6cora de re7uerimiento de usuario /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 3 # 14
8 9ficial de +eguridad /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' 5
1( ,st6ndares de /rogramacin /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 4 ' 2
11 +ervidor de Base de 0atos de :
allas de +oftAare 2altade actuali=aciones del +istema 9perativo
2
2 2 4 1#
allas de @ardAare 2 alta de mantenimiento 2
allas en la red 2 estin de >ed inadecuada 2
/erdida de 0atos 2 /olCtica incorrecta para el control de accesos 2
0esastre natural 2 alta de proteccion contra desastres naturales2
12 Bitacora de pases a produccin /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion
2 2 3 # 8
13 Bitacora de desarrollo /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion
2 2 3 # 1"
14 *odigo uente ;pa7uet ede desarrolloedinadecuada por parte
de los proveedores ;M9$edinadecuada por parte
de los proveedores ;M9$>@@Jefe de 0esarrollo 1J1J2(1#
F'F2 F'F2F2 0esarrollo /olitica de capacitacion efe de 0esarrollo 1"J"J2(1#
F'F2 F'F2F3 0esarrollo/rocedimiento de
violacion de la seguridad efe de >>@@Jefe de 0esarrollo 1"J#J2(1#
F'F3 F'F3F3 0esarrollo/rocedimiento de derecos
de accesoefe de 0esarrollo 1"J#J2(1#
# *oordinador de /rue!asF'F2 A@%@2@2 *ontrol de *alidad /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J5J2(1#
5 9fi ci al de +eguri dadF'F2 A@%@2@2 +istemas /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J'J2(1#
' *odigo uente ;pa7uete de desarrol lo>@@Jefe de 0esarrollo 1J1J2(1#
F1(F5 F1(F5F3 0esarrollo/rocedimiento para el maneKo y
almacenamiento de la informacion efe de 0esarrollo 1J1J2(1#
