Sistema de Gestión de la Seguridad de la Información

download Sistema de Gestión de la Seguridad de la Información

of 15

description

Caso de Estudio para establecer un SGSI

Transcript of Sistema de Gestión de la Seguridad de la Información

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    1/15

    Seguridad de la Informacin

    SGSIIng. Diaz Roncal, Eduardo

    Ing. Fernandez Alquizar, Manuel

    Ing. Grados Atoche, uan

    Ing. Isla Goicochea, ulio

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    2/15

    Seguridad de la Informacin

    Determinacin del Alcance:Determinacin del Alcance:

    El !roceso a im!lementar es el "Desarrollo # $ase a $roduccin

    $lanificado % &rgente' que (iene hacer el con)unto de tareasdestinadas a im!lementar un !aquete de desarrollo en el

    am*iente de !roduccin a !artir de un requerimiento de usuario

    !re(iamente !lanificado.

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    3/15

    Seguridad de la Informacin

    Mtodo de los Elipses:Mtodo de los Elipses:

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    4/15

    Seguridad de la Informacin

    POLTICA DE SEGUIDAD:POLTICA DE SEGUIDAD:

    $+I-IA +/E-I0+S I1DIAD+RES +-A

    En la 2Em!resa omercio 3

    IA S.A.2 reconocemos la

    im!ortancia de identificar #

    !roteger los acti(os de

    informacin !ara as4 e(itar la

    mani!ulacin #5o utilizacin no

    autorizada de toda la

    informacin rele(ante de la

    em!resa que !ueda generar un

    im!acto negati(o en el

    negocio. $or eso nos

    com!rometemos a desarrollar,

    im!lantar, mantener # me)orar

    continuamente el Sistema de

    Seguridad de la Informacin

    6SGSI7 !ara asegurar la

    integridad, confidencialidad #

    dis!oni*ilidad de la

    informacin.

    Identificar y proteger activos de

    informacin

    Nmero de incidentes de

    seguridad de la informacin por

    activo de informacin en el ao

    1 a 2 - Muy Bien

    3 a 4 - cepta!le

    " a # - Inacepta!le

    $erificar el cumplimiento de

    controles

    implementados

    Numero de no conformidades

    so!re el nmero de controles

    implementados

    %& '() cepta!le

    *rear una *ultura de +eguridad

    de

    la Informacin

    ,ncuestas a usuarios satisfecos

    entre total de encuestas%& #() cepta!le

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    5/15

    Seguridad de la Informacin

    IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:IDE!TI"ICACI#! DE LOS ACTI$OS DE I!"OMACI#!:

    N. ctivos de Informacion

    /roceso de 0esarrollo de+istemas

    +u!-/rocesos

    0esarrollo y /ase a /roduccin/lanificado - rgente

    1 ica de *asos de /rue!a

    2 efe de 0esarrollo

    3 efe de /roduccin 4 dministrador de Base de 0atos

    " +ervidor de plicaciones

    # nalista /rogramador

    5 *oordinador de /rue!as

    ' Bit6cora de re7uerimiento de usuario

    8 9ficial de +eguridad

    1( ,st6ndares de /rogramacin

    11 Base de 0atos de /roduccin 12 +ervidor de Base de 0atos de :

    13 Bitacora de pases a produccin

    14 Base de 0atos de :

    1" Base de 0atos de :B

    1# Bitacora de desarrollo

    15 *odigo fuente ;pa7uete de desarrollo<

    1' +ervidor de Base de 0atos de :B

    18 +ervidor de Base de 0atos de /roduccin

    2( +ervidor de rcivos

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    6/15

    Seguridad de la Informacin

    TASACI#! DE ACTI$OS:TASACI#! DE ACTI$OS:

    N Activos de Informacion

    Tasacin

    Condencialidad

    Integridad

    Disponibilidad

    Total

    1 Ficha de Casos de Prueba 3 4 4 42 Jefe de Desarrollo 4 3 4 43 Jefe de Produccin 4 3 4 44 Administrador de Base de Datos 4 4 4 45 Seridor de A!licaciones 2 2 2 2" Analista Pro#ramador 3 3 3 3$ Coordinador de Pruebas 4 4 4 4

    % Bit&cora de re'uerimiento de usuario 3 3 4 3

    ( )*cial de Se#uridad 4 4 4 4

    1+ ,st&ndares de Pro#ramacin 4 4 4 4

    11 Seridor de Base de Datos de -A 2 2 2 212 Bitacora de !ases a !roduccin 3 3 4 3

    13 Bitacora de desarrollo 3 3 4 3

    14 Codi#o fuente .!a'uete de desarrollo/ 4 4 4 4

    15 Seridor de Base de Datos de -B 2 2 2 2

    1" Seridor de Base de Datos de Produccin 2 2 2 2

    1$ Seridor de Archios 2 2 2 2

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    7/15

    Seguridad de la Informacin

    POPIETAIOS:POPIETAIOS:

    N

    Activos de Informacion Propietarios

    1 Ficha de Casos de Prueba Analista Programador2 Jefe de Desarrollo erencia de !istemas3 Jefe de Produccin erencia de !istemas4 Administrador de Base de Datos "efe de Prod#ccin

    5 Seridor de A!licaciones "efe de !oporte TI" Analista Pro#ramador "efe de Desarrollo$ Coordinador de Pruebas "efe de Prod#ccin% Bit&cora de re'uerimiento de usuario "efe de Desarrollo( )*cial de Se#uridad erencia de !istemas1+

    ,st&ndares de Pro#ramacin "efe de Desarrollo

    11 Seridor de Base de Datos de -A "efe de Desarrollo

    12

    Bitacora de !ases a !roduccin "efe de Prod#ccin

    13

    Bitacora de desarrollo "efe de Desarrollo

    14

    Codi#o fuente .!a'uete de desarrollo/ "efe de Desarrollo

    15

    Seridor de Base de Datos de -B "efe de !oporte

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    8/15

    Seguridad de la Informacin

    A!%LISIS DE IESGOS:A!%LISIS DE IESGOS:

    NActivos

    deInformacion

    Amena$as % lnerabilidad

    Amena$as Probabilidad de 'c#rrencia lnerabilidadProbabilidad de 'c#rrencia (#e la amena$a

    e%plota la v#lnerabilidad

    1 Ficha de Casos de PruebaDescri!cin incorrecta de la

    !rueba a 0ealiar3 Falta de Ca!acitacin 2

    2 Jefe de Desarrollo Prdida de Personal 2 ,m!leados desmotiados 2

    3 Jefe de Produccin Prdida de Personal 2 ,m!leados desmotiados 2

    4 Administrador de Base de Datos Prdida de Personal 2 ,m!leados desmotiados 2

    5 Seridor de A!licaciones

    Fallas de ardare 2 Falta de mantenimiento3

    Fallas de Softare 2Falta de actualiaciones del S+

    2

    Fallas en la red 3estin de 0ed inadecuada !or !arte

    de los !roeedores .6)7/ 4

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    " Analista Pro#ramador

    Prdida de Personal 2 ,m!leados desmotiados 2

    0obo de 8nformacin 3 Falta de Pol9ticas de Se#uridad 4

    $ Coordinador de Pruebas Prdida de Personal 2 ,m!leados desmotiados 2

    % Bit&cora de re'uerimiento de usuario Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

    ( )*cial de Se#uridad Prdida de Personal 2 ,m!leados desmotiados 2

    1+ ,st&ndares de Pro#ramacin Perdida de Acceso 3 Falta 0eision de Derechos de Acceso 2

    11 Seridor de Base de Datos de -A

    Fallas de Softare 2Falta de actualiaciones del S+

    2

    Fallas de ardare 2 Falta de mantenimiento2

    Fallas en la red 2 estin de 0ed inadecuada 2

    Perdida de Datos 2 Pol9tica incorrecta !ara el control de accesos2

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    12 Bitacora de !ases a !roduccin Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

    2

    13 Bitacora de desarrollo Perdida de Acceso 3:o reision de los derechos ; roles de accesos< diul#acion de informacion

    2

    14 Codi#o Fuente .!a'uete de desarrollo/

    ac=in# 2 Falta de !roteccin de redes !>blicas 2

    Falla de ardare 2 Falta de 6antenimiento2

    Falla de Softare 2 Falta de actualiaciones del S+2

    Falla de 0ed 2 estin de red de inadecuada 2

    0obo de 8nformacin 2Falta de Pol9ticas de Se#uridad 2

    15 Seridor de Base de Datos de -B

    Fallas de ardare 2Falta de mantenimiento

    2

    Fallas de Softare 2 Falta de actualiaciones del S+2

    Fallas en la red 2 estin de 0ed inadecuada 2

    Desastre natural 2 Falta de !roteccion contra d esastres naturales2

    Perdida de Acceso 2:o reision de los derechos ; roles de accesos

    a usuarios

  • 7/17/2019 Sistema de Gestin de la Seguridad de la Informacin

    9/15

    Seguridad de la Informacin

    C%LCULO DE IESGOS:C%LCULO DE IESGOS:

    N.ctivos

    deInformacion

    mena=as/ro!a!ilidad

    de9currencia

    $ulnera!ilidad/ro!a!ilidad de 9currencia

    7uela amena=a eplotela vulnera!ilidad

    /ro!a!ilida de 9currenciade lamena=a

    Impactode la

    mena=a>i es go / ri or ida d

    1 ica de *asos de /rue!a0escripcin incorrecta de la

    prue!a a >eali=ar3 alta de *apacitacion 2 2 4 # 1(

    2 efe de 0esarrollo /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 11

    3 efe de /roduccin /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 12

    4 dministrador de Base de 0atos /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 # 13

    " +ervidor de plicaciones

    allas de @ardAare 2 alta de mantenimiento 3

    4 2 ' "

    allas de +oftAare 2altade actuali=aciones del +istema 9perativo

    2

    allas en la red 3estin de >edinadecuada por parte

    de los proveedores ;M9$o!o de Informacin 3 alta de /olCticas de +eguridad 4

    5 *oordinador de /rue!as /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' '

    ' Bit6cora de re7uerimiento de usuario /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 3 # 14

    8 9ficial de +eguridad /?rdida de /ersonal 2 ,mpleados desmotivados 2 2 4 ' 5

    1( ,st6ndares de /rogramacin /erdida de cceso 3 alta >evision de 0erecos de cceso 2 2 4 ' 2

    11 +ervidor de Base de 0atos de :

    allas de +oftAare 2altade actuali=aciones del +istema 9perativo

    2

    2 2 4 1#

    allas de @ardAare 2 alta de mantenimiento 2

    allas en la red 2 estin de >ed inadecuada 2

    /erdida de 0atos 2 /olCtica incorrecta para el control de accesos 2

    0esastre natural 2 alta de proteccion contra desastres naturales2

    12 Bitacora de pases a produccin /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

    2 2 3 # 8

    13 Bitacora de desarrollo /erdida de cceso 3 No revisionde los derecos yroles de accesosDdivulgacionde informacion

    2 2 3 # 1"

    14 *odigo uente ;pa7uet ede desarrolloedinadecuada por parte

    de los proveedores ;M9$edinadecuada por parte

    de los proveedores ;M9$>@@Jefe de 0esarrollo 1J1J2(1#

    F'F2 F'F2F2 0esarrollo /olitica de capacitacion efe de 0esarrollo 1"J"J2(1#

    F'F2 F'F2F3 0esarrollo/rocedimiento de

    violacion de la seguridad efe de >>@@Jefe de 0esarrollo 1"J#J2(1#

    F'F3 F'F3F3 0esarrollo/rocedimiento de derecos

    de accesoefe de 0esarrollo 1"J#J2(1#

    # *oordinador de /rue!asF'F2 A@%@2@2 *ontrol de *alidad /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J5J2(1#

    5 9fi ci al de +eguri dadF'F2 A@%@2@2 +istemas /olitica de capacitacion sistenta +ocialJ*apacitador ,terno 2(J'J2(1#

    ' *odigo uente ;pa7uete de desarrol lo>@@Jefe de 0esarrollo 1J1J2(1#

    F1(F5 F1(F5F3 0esarrollo/rocedimiento para el maneKo y

    almacenamiento de la informacion efe de 0esarrollo 1J1J2(1#