Tesis r urbina_abril2012_v3_presentacion_pb

METODOLOGÍA PARA RELACIONAR LA EFECTIVIDAD DEL SISTEMA DE GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN CON LOS ELEMENTOS DEL NEGOCIO

RICARDO MARIO URBINA MIRANDA

MEMORIA PARA OPTAR AL TÍTULO DE INGENIERO EN INFORMÁTICA Y GESTIÓN

ABRIL, 2012

Abril 2012

Temario

• Contexto

• Objetivo

• Problemática a resolver

• Marco Conceptual

• Metodología propuesta

• Pasos definidos por metodología

• Aplicación Práctica

• Conclusiones

Abril 2012

Contexto

Dado el avance tecnológico que ha permitido uso masivo de las tecnologías de información se hace necesario definir metodologías y buenas prácticas para proteger que la información sea utilizada de manera correcta y no se haga mal uso de ésta, sea de manera accidental o intencionada.

La Seguridad de la Información tiene como objetivo el aportar herramientas para proteger la información.

Abril 2012

Objetivo

Proponer una metodología para relacionar la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI) con los elementos críticos del negocio de modo que la Administración pueda visualizar donde están los riesgos.

Abril 2012

Marco Conceptual

NormaAño

publicaciónObjetivo

ISO/IEC 27001 2005Establece requerimientos a cumplir un Sistema de Gestión de

Seguridad de la Información (SGSI). Es certificable.

ISO/IEC 27002 2005

Código o Guía de buenas prácticas para la Seguridad de la

Información, detalla los 133 controles reunidos en 11 grupos,

más 39 “Objetivos de control”.

ISO/IEC 27003 2010Guía de Implementación. Describe los aspectos a tener en cuenta

para la implantación de un SGSI.

ISO/IEC 27004 2009describe todos los aspectos de métricas, indicadores y

mediciones que deben realizarse sobre un SGSI.

ISO/IEC 27005 2008/2011 Trata los aspectos relacionados a la Gestión de riesgos.

ISO/IEC 27006 2006Especifica los requisitos que debe reunir cualquier organización que

desee acreditarse como “Entidad certificadora” de ISO 27001.

ISO/IEC 27007 2011Es una guía de auditoría de un SGSI, como complemento a lo

especificado en ISO 19011

ISO/IEC TR 27008 2011Es una guía de auditoría de los controles seleccionados en el marco

de implantación de un SGSI.

ISO/IEC 27011 2008Guía de implementación de un SGSI para el sector de

Telecomunicaciones.

ISO/IEC 27031 2011Directrices para la preparación de las TIC en la Continuidad de

Negocio.

ISO/IEC 27033-1 2009Seguridad en redes conceptos generales, corresponde a la parte 1 de

7.

ISO/IEC 27034-1 2011Seguridad en aplicaciones informáticas, consistente en 5 partes,

donde 27034-1 corresponde a los conceptos generales.

ISO/IEC 27035 2011Guía sobre la gestión de incidentes de seguridad en la información de

grandes y medianas empresas

ISO/IEC 27799 2008Orientada a la aplicación de un SGSI en el

ámbito sanitario.

Abril 2012

Problemática a resolver La familia de normas ISO 27000 plantea qué se debe considerar para gestionar la Seguridad de la Información, sin embargo, no plantea cómo hacerlo.

Luego la problemática consiste en presentar desde la visión del negocio los riesgos existentes a nivel técnico.

E

S

Pj . . .

E

S

P1 R

ob

o d

e

info

rmac

ión

Abril 2012

Metodología propuesta

Procesos

Activos

Riesgos Controles

Indicadores

Proceso

Entrada

Salida

R = D * p(D)

5. POLÍTICA DE SEGURIDAD

5.1 Política de seguridad de la información.

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 Organización interna.

6.2 Terceros.

7. GESTIÓN DE ACTIVOS

7.1 Responsabilidad sobre los activos.

7.2 Clasificación de la información.

8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

8.1 Antes del empleo.

8.2 Durante el empleo.

8.3 Cese del empleo o cambio de puesto de trabajo.

9. SEGURIDAD FÍSICA Y DEL ENTORNO

9.1 Áreas seguras.

9.2 Seguridad de los equipos.

10. GESTIÓN DE COMUNICACIONES Y OPERACIONES

10.1 Responsabilidades y procedimientos de operación.

10.2 Gestión de la provisión de servicios por terceros.

10.3 Planificación y aceptación del sistema.

10.4 Protección contra el código malicioso y descargable.

10.5 Copias de seguridad.

Procesos SGSI = { P(1), … , P(m) } (m ≤ n)

Activos(i) = { Act(1,i), Act(2,i), … , Act(j,i) }

Act(i,j) R(i,j) R(i,j) Cs(i,j)

Cs(1,i) ==> I1, I2, …, Ia






10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1

11. CONTROL DE ACCESO

12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

15. CUMPLIMIENTO

Abril 2012

P(i) Act(j,i) R(j,i) Cs(j,i) It, Is, In, …

Metodología propuesta -continuación-







11. CONTROL DE ACCESO

12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

15. CUMPLIMIENTO

ID Medida

NombreC_Act_P

Nombre ActivoProceso ID CONTROL Act P

I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2

I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2

I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1

I3 Antivirus en estaciones actualizado C50(1,2) Detalle del producto vendido Desarrollo 50 1 2

I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2

I3 Antivirus en estaciones actualizado C50(1,3) Diseño del producto Moldeo 50 1 3

I3 Antivirus en estaciones actualizado C50(6,1) Cotización Venta 50 6 1

I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1

I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2

I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2

I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3

I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1

I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1

I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2

I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3

I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1

I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2

I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3

Abril 2012

1. Identificación y ordenamiento de procesos (n)

2. Definición alcance del SGSI (m)

3. Identificación de activos por proceso

4. Asociación de relación Proceso <-> Activo

5. Evaluación de riesgos

6. Selección de controles

7. Definición de indicadores

8. Generación del Panel de Control

Pasos definidos por metodología

Abril 2012

Aplicación Práctica

Empresa productiva que fabrica envases de vidrio, dado que sólo tiene un objetivo académico todas las consideraciones serán simplificaciones de la realidad.

1. Identificación y ordenamiento de procesos Venta

Desarrollo de productos

Generación de moldes

Producción del envase

Embalaje

Distribución

Facturación

n=7

Abril 2012


2. Definición alcance del SGSI

Procesos SGSI={ 1 Venta, 2 Desarrollo de productos, 3 Proceso de moldeo}

3. Identificación de activos por proceso

P(1) venta ==> Activos={ Listado clientes (1,1), Listado productos (2,1), Ejecutivos (3,1), Estudios mercado (4,1), Planes venta (5,1), Cotización (6,1), Detalle producto (7,1)}

P(2) desarrollo ==> Activos={ Detalle producto (1,2), Productos desarrollados (2,2), Equipo diseño (3,2), Equipamiento diseño (4,2), Diseño producto (5,2)}

P(3) moldeo ==> Activos={ Diseño producto (1,3), Materias moldeo (2,3), Personal moldeo (3,3), Horno (4,3), Molde producto (5,3)}

Existen 17 activos, solo 15 son distintos, por lo tanto, j=15.

m=3

Abril 2012


4. Asociación de relación Proceso <-> Activo

Abril 2012


5. Evaluación de riesgos

Abril 2012


5. Evaluación de riesgos -continuación-

Abril 2012


5. Evaluación de riesgos -continuación-

Para el ejemplo se considera Mitigar los riesgos aplicando controles y se define nivel de aceptación para el valor 4,0

Abril 2012

Proceso Activo

ID Riesgo

TR

AT

AM

IEN

TO

DE

L

RIE

SG

O

Có

dig

o m

ali

cio

so

- V

iru

s -

Gu

sa

no

s -

Tro

ya

no

s

Fu

ga

de

in

form

ac

ión

Fa

lta

/ A

use

nc

ia d

e p

erso

na

l

Fa

lla

de

lo

s s

erv

icio

s d

e c

om

un

ica

cio

ne

s

Inte

rru

pc

ión

de

la

s a

cti

vid

ad

es y

pro

ce

so

s d

e n

eg

oc

io

Ac

ce

so

fís

ico

no

au

toriz

ad

o

Fa

lla

s d

el

ha

rd

wa

re

Ac

tos M

ali

nte

nc

ion

ad

os -

Va

nd

ali

sm

o

Te

rre

mo

to

Inc

en

dio

Inu

nd

ac

ion

es

Erro

re

s h

um

an

os

Ac

ce

so

no

au

toriz

ad

os a

la

re

d

Desarrollo (2) Equipamiento para diseñar (4,2) MITIGAR 2 0 0 1 1 1 1 0 1 1 1 0 1

Venta (1) Detalle del producto vendido(7,1)

(1,2) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1

Desarrollo (2) Diseño del producto(5,2)

(1,3) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1

Venta (1) Ejecutivos de venta (3,1) MITIGAR 0 2 1 0 1 0 0 1 0 0 0 1 0

Desarrollo (2) Equipo de diseño (3,2) MITIGAR 0 2 1 0 0 0 0 1 0 0 0 1 0

Moldeo (3) Personal de moldeo (3,3) MITIGAR 0 2 1 0 0 0 0 1 0 0 0 1 0

Venta (1) Cotización (6,1) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 1 1

Aplicación Práctica 6. Selección de controles

Siete activos con riesgos a mitigar, considerando dos amenazas, se seleccionaron los controles 50, 59 y 94.

Códig

o mali

cioso

- Viru

s - G

usan

os -

Troy

anos

Fuga

de in

form

ación

2 0

2 0

2 0

0 2

0 2

0 2

2 0

Có

dig

o M

alic

ioso

–

Vir

us

- G

usa

no

s

Fuga

in

form

ació

n

Control seleccionado Cod. #

ID CONTROL

10.4.1 Controles contra el código malicioso. 50 C50(4,2)

10.4.1 Controles contra el código malicioso. 50C50(7,1)

C50(1,2)

10.4.1 Controles contra el código malicioso. 50C50(5,2)

C50(1,3)

10.8.1 Políticas y procedimientos de intercambio de

información.

11.6.1 Restricción del acceso a la información.

59

94

C59(3,1)

C94(3,1)


información.


59

94

C59(3,2)

C94(3,2)


información.


59

94

C59(3,3)

C94(3,3)

10.4.1 Controles contra el código malicioso. 50 C50(6,1)

Abril 2012


7. Definición de indicadores

Activo Control seleccionado ID CONTROLNombre

Indicador

Id.

IndicadorMedida

Responsable de la

medida

Periodo de

mediciónDescripción Rango

> =98% bueno

Equipamiento para

diseñar10.4.1 Controles contra el código

malicioso.C50(4,2)

Antivirus en servidores

actualizadoI1

Porcentaje de servidores con

antivirus actualizado

Administración

servidoresSemanalmente 96% ó 97% Regular

< =95% es malo

> =98% bueno

C50(4,2)Cantidad de parches

críticos en servidoresI2

Cantidad de parches críticos de

seguridad instalados en los

servidores Microsoft

Administración

servidores

Por cada parche

crítico96% ó 97% Regular

< =95% es malo

> =98% bueno

Detalle del producto

vendido10.4.1 Controles contra el código

malicioso.

C50(7,1)

C50(1,2)

Antivirus en estaciones

actualizadoI3

Porcentaje de estaciones con


Administración

estacionesSemanalmente 96% ó 97% Regular

< =95% es malo

> =98% bueno

C50(7,1)

C50(1,2)

Cantidad de parches

críticos en estaciones

de trabajo

I4Cantidad de estaciones de

trabajo actualizadas del último

parche crítico de MS

Por cada parche

crítico

Por cada parche


< =95% es malo

> =98% bueno

Diseño del producto10.4.1 Controles contra el código

malicioso.

C50(5,2)

C50(1,3)


actualizadoI3



Administración


< =95% es malo

> =98% bueno

C50(5,2)

C50(1,3)

Cantidad de parches

críticos en estaciones de

trabajoI4

Cantidad de estaciones de



Por cada parche

crítico

Por cada parche


< =95% es malo

10.8.1 Políticas y procedimientos de

intercambio de información.C59(3,1)

Política de intercambio de

información con tercerosI5 Revisión/actualización política OSI Trimestralmente SI

NO

Ejecutivos de venta > = 96% bueno

11.6.1 Restricción del acceso a la

información.C94(3,1)

Perfilamiento de

usuarios en

aplicaciones

I6Porcentaje de aplicaciones con

perfilamiento de usuarios

Responsable de

aplicacionesTrimestralmente 90% al 95% Regular

< = 89% es malo




información con tercerosI5 Revisión/actualización política OSI Trimestralmente SI

NO

Equipo de diseño > = 96% bueno



Perfilamiento de usuarios

en aplicaciones I6Porcentaje de aplicaciones con


Responsable de


< = 89% es malo




información con terceros I5 Revisión/actualización política OSI Trimestralmente SI

NO

Personal de moldeo > = 96% bueno



Perfilamiento de usuarios

en aplicaciones I6Porcentaje de aplicaciones con


Responsable de


< = 89% es malo

> =98% bueno

Cotización10.4.1 Controles contra el código

malicioso.C50(6,1)


actualizadoI3



Administración


< =95% es malo

> =98% bueno

C50(6,1)

Cantidad de parches

críticos en estaciones de

trabajoI4

Cantidad de estaciones de



Por cada parche

crítico

Por cada parche


< =95% es malo

El período de instalación considerado es

5 días luego de liberado el parche crítico

de seguridad.

Corresponde a la validación que el

antivirus está actualizado a la última

versión liberada por el fabricante

Verificar existencia de perfiles de

usuarios dentro de las aplicaciones

Corresponde a la verificación que la

política haya sido revisada y/o

actualizada








de seguridad.



actualizada



de seguridad.



de seguridad.





actualizada







Activo Control seleccionadoID

CONTROL

Nombre

Indicador

Id.

IndicadorMedida

Responsable de

la medida

Periodo de

mediciónDescripción Rango

> =98% bueno

Equipamiento para diseñar10.4.1 Controles contra el código

malicioso.C50(4,2)


actualizadoI1

Porcentaje de servidores

con antivirus actualizado

Administración

servidoresSemanalmente 96% ó 97% Regular

< =95% es malo

> =98% bueno

C50(4,2)Cantidad de parches

críticos en servidoresI2

Cantidad de parches

críticos de seguridad

instalados en los


Administración

servidores

Por cada parche


< =95% es malo

Corresponde a la validación que

el antivirus está actualizado a la

última versión liberada por el

fabricante

El período de instalación

considerado es 5 días luego de

liberado el parche crítico de

seguridad.

Ejecutivos de venta10.8.1 Políticas y procedimientos de


Política de intercambio

de información con

terceros

I5Revisión/actualización

políticaOSI Trimestralmente SI

NO

Corresponde a la verificación

que la política haya sido revisada

y/o actualizada

Para los 7 activos. Se definen 6 indicadores del I1 al I6. Tanto los controles como los indicadores asociados se aplican a dos o más activos.

Abril 2012




10.4 Protección contra el código malicioso y descargable. 1

10.4.1 Controles contra el código malicioso.

I1 Antivirus en servidores actualizado 2

I2 Cantidad de parches críticos en servidores 1

I3 Antivirus en estaciones actualizado 3

I4 Cantidad de parches críticos en estaciones de trabajo 2

10.8 Intercambio de información. 1

10.8.1 Políticas y procedimientos de intercambio de información.

I5 Política de intercambio de información con terceros 1

11. CONTROL DE ACCESO 2

11.6 Control de acceso a las aplicaciones y a la información. 2


I6 Perfilamiento de usuarios en aplicaciones 2

Abril 2012


Uso de Tabla de relación

ID Medida

NombreC_Act_P


(Act,P)

I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)

I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)

I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1 (7,1)

I3 Antivirus en estaciones actualizado C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2)

I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)

I3 Antivirus en estaciones actualizado C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3)

I3 Antivirus en estaciones actualizado C50(6,1) Cotización Venta 50 6 1 (6,1)

I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1 (7,1)

I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2)

I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)

I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3)

I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 (6,1)

I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 (3,1)

I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2)

I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3)

I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1 (3,1)

I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 (3,2)

I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3 (3,3)

ID Medida

NombreC_Act_P


(Act,P)

I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 (3,1)

I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2)

I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3)

I5 Política de intercambio de información con terceros 1

Política de intercambio

de información con

tercerosI5

Revisión/actualización

políticaOSI Trimestralmente SI

NO

Corresponde a la verificación

que la política haya sido revisada

y/o actualizada

Abril 2012

Conclusiones

La metodología presentada relaciona todos los elementos que forman parten del Sistema de Gestión de la Seguridad de la información.

Se evidencio que es factible alcanzar el objetivo utilizando como herramienta una planilla Excel.

Se puede concluir que la metodología propuesta permite relacionar la efectividad de un SGSI con los elementos del negocio y así apoyar la toma de decisiones para proteger los activos críticos de la Organización.

Abril 2012

Abril 2012

Gracias

Abril 2012

Abril 2012

ISO/IEC 27001:2005 Definir SGSI

Abril 2012

ISO/IEC 27005:2008 Gestión de Riesgos

Proceso

Entrada

Salida

R = D * p(D)

Evitar -- Mitigar -- Transferir -- Aceptar

La norma no proporciona metodología alguna para la gestión de riesgos Cada Organización debe elegir la que le acomode

Abril 2012

ISO/IEC 27002:2005 Controles (133)

Política de Seguridad (2)

Aspectos Organizativos de la Seguridad (11)

Gestión de activos (5)

Seguridad ligada a los RRHH (9)

Seguridad física y del entorno (13)

Gestión de comunicaciones y operaciones (32)

Control de acceso (25)

Adquisición, desarrollo y mantenimiento de sistemas de información (16)

Gestión de incidentes de seguridad de la información (5)

Gestión de la continuidad del negocio (5)

Cumplimiento (10)

Abril 2012

ISO/IEC 27004:200 Indicadores

Evaluar la efectividad de la implementación de los controles de seguridad.

Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.

Verificar que los requerimientos de seguridad fueron logrados

Servir como entradas al plan de análisis y tratamiento de riesgos.

Proveer estados de seguridad que guíen las revisiones Gerenciales del SGSI, facilitando mejoras a la seguridad y nuevas entradas para el SGSI.

Se debe desarrollar un programa de mediciones que considera: • Desarrollo de medidas y mediciones • Proceso de medición • Análisis y reporte de resultados • Evaluación y mejora del programa de medición de seguridad de la información

Abril 2012

ISO/IEC 27004:200 Indicadores

Abril 2012


Control seleccionado Cod. # ID CONTROL Nombre Identificación MedidaResponsable de la

medidaPeriodo de medición Descripción Rango Color Valor

> =98% bueno

10.4.1 Controles contra el código

malicioso.50 C50(4,2) I1

Porcentaje de servidores con


Administración

servidoresSemanalmente

96% ó 97%

Regular

< =95% es malo

> =98% bueno

C50(4,2) I2Cantidad de parches críticos de

seguridad instalados en los


Administración

servidores

Por cada parche

crítico

96% ó 97%

Regular

< =95% es malo

C50(7,1) I3C50(1,2)

I3 > =98% bueno

C50(5,2) I3Porcentaje de estaciones con


Administración

estacionesSemanalmente

96% ó 97%

Regular

C50(1,3) I3 < =95% es malo

C50(6,1) I3

C50(7,1) I4C50(1,2)

I4 > =98% bueno

C50(5,2) I4Cantidad de estaciones de



Por cada parche

crítico

Por cada parche

crítico

96% ó 97%

Regular

C50(1,3) I4 < =95% es malo

C50(6,1) I4


intercambio de información.59 C94(3,1) I5 Revisión/actualización política OSI Trimestralmente SI

C94(3,2)I5 NO

C94(3,3) I5

C94(3,1) I6 > = 96% bueno


información.94

C94(3,2)I6

Porcentaje de aplicaciones con


Responsable de

aplicacionesTrimestralmente

90% al 95%

Regular

C94(3,3) I6 < = 89% es malo

Cantidad de parches críticos en

estaciones de trabajo


información con terceros

Corresponde a la validación que el antivirus está actualizado a la

última versión liberada por el fabricante2

3


actualizado

Perfilamiento de usuarios en

aplicaciones

Corresponde a la verificación que la política haya sido revisada y/o

actualizada

El período de instalación considerado es 5 días luego de liberado el

parche crítico de seguridad.

El período de instalación considerado es 5 días luego de liberado el

parche crítico de seguridad.2

1

2

Corresponde a la validación que el antivirus está actualizado a la

última versión liberada por el fabricante

1

Verificar existencia de perfiles de usuarios dentro de las

aplicaciones

Cantidad de parches críticos en

servidores


actualizado

Abril 2012

Tesis r urbina_abril2012_v3_presentacion_pb

Technology

Transcript of Tesis r urbina_abril2012_v3_presentacion_pb