Trabajo No 5

ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA

ISO 27001

Deber No. 5Taller No. 1EMPRESA: EMPRESA DE SEGURIDAD

INTEGRANTES: LUIS CHOEZPAUL GARCIAPATRICIO AGUIRREJOSEPH GUAMAN

CLASIFICACIN DE LOS ACTIVOS

ACTIVOS PRIMARIOS CLASIFICADOS

Nombre Activo Primario Laptops

PCs bajo Windows

Servidores y redes Nombre Activo Primario Servidor Linux

Servidor Windows

Componentes activos de red

Sistemas clientes y Computadoras aisladas

Servidores y redes

Gestin de redes y sistemas

Nombre Activo Primario Intercambio de medios de datos

Modem

Firewall

Telecomunicaciones Nombre Activo Primario Mquina de fax

Otros componentes TI Nombre Activo Primario Software y aplicaciones

Bases de datos

Sistemas de Transmisin de Datos


ISO 27001


ACTIVOS PRIMARIOS CLASIFICADOS

Descripcin general confidencialidadComputadoras porttiles en general.

PCs conectadas en red como clientes de un servidor.

Descripcin general confidencialidad

Invasion de la privacidad de los usuarios o clientes

Invasion de la privacidad de los usuarios o clientes

Computador bajo sistema operativo Unix/Linux que provee servicios en una red.

Invasin de la privacidad de los usarios o clientes

Computador bajo sistema operativo Windows que provee servicios en una red.


Routers, switches y dems dispositivos activos de conectividad; topologa, configuracin, seleccin y protocolos de comunicaciones.


Fugas de informacin confidencial

Descripcin general confidencialidadFugas de informacin confidencial

Dispositivo de comunicacin de banda ancha Fugas de informacin confidencial


Descripcin general confidencialidadDispositivo de envo manual de imgenes de documentos va telefnica. Fugas de informacin confidencial

Descripcin general confidencialidadFugas de informacin confidencial


Operaciones centralizadas de chequeo y monitoreo centralizado de una red y administracin de usuarios, distribucin de software y manejo de aplicaciones.

Manejo de medios de datos en trnsito no electrnico; almacenamiento fsico en origen y destino.

Dispositivo de proteccin entre dos redes, tpicamente en el acceso a Internet.

Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que dispone la DIRTIC: requerimientos, seleccin, pruebas, aprobacin, instalacin, desinstalacin.

Seleccin, instalacin, configuracin y operacin de un sistema de bases de datos por medio de un DBMS.


ISO 27001


integridad disponibilidadcambio deliberado degradacion de rendimiento

cambio deliberado degradacion de rendimiento

integridad disponibilidadcambio deliberado falta de servicio

cambio deliberado falta de servicio


resultados incorrectos interrupcin de servicio


cambio deliberado interrupcin de servicio



integridad disponibilidadresultados incorrectos interrupcin de servicio

resultados incorrectos interrupcin de servicio


ISO 27001


Amenaza

Amenaza

Diversidad de posibilidades de acceso a sistemas TI en red

No cumplimiento con las medidas de seguridad TI. Por negligencia o pruebas insuficientes. Podran producirse daos que podran haberse previsto o al menos minimizados.

Transferencia de registros de datos incorrecta o indeseada. Datos anteriores que no debieran aparecer. Si se envan electrnicamente las listas podran no estar actualizadas respecto de personal que no trabaja ms.

Puede afectar a toda la red o secciones de la misma. Podra ser un equipo que afecta toda su rea, o componentes activos en el camino de las comunicaciones (y no hay caminos redundantes) o para redundancia o balanceo de carga (con las consiguientes restricciones de ancho de banda).

En redes Windows pueden ocurrir relaciones de interconfianza inadecuadas. Esto puede darse especialmente cuando los derechos de acceso se hacen muy amplios asumiendo que nadie de otro dominio acceder los recursos locales.

Reconocimiento de vulnerabilidades en el software

AmenazaFalla o mal funcionamiento de un componente de red

Autenticacin faltante o de pobre calidad

Amenaza

Amenaza

Falla de componentes de un sistema de gestin de red o de sistemas

Los errores en la ruta de transmisin o en los dispositivos de conexin pueden producir prdidas o que la informacin se vuelva ilegible.

Corrupcin parcial o datos no inteligibles por manipulacin de datos no intencionales, chequeos inadecuados de la sincronizacin de transacciones, e intrusiones deliberadas.

No se puede almacenar ms datos, email entrante se rechaza, no se pueden mantener auditorias.


ISO 27001


Vulnerabilidad

Vulnerabilidad

Falta de procedimientos para la utilizacin de equipos porttiles po parte de los usuarios de la empresa.

Poca capacitacin al personal para la utilizacion de las PCs y falta de conocimientos de los servicios que dispone

No existen planes de contigencia para siministrar el servicio de red en el caso que haya un evento imprevisto

Falta de capacitaciny certificaciones de instalacin y configuracin de se servidores en Sistema operativo de Microsoft.

Falta de polticas de seguridad para el acceso y utilizacin de equipos de red, asi cmo de los custodios de estos equipos

Vulnerabilidad

Vulnerabilidad

Vulnerabilidad

No existe el software apropiado para el monitoreo y gestin de regres asi como falta de capaitacin a los operadores.

No existes energa estabilizada para la proteccin de equipos informticos.

Falta de procedimientos de utilizacin de equipos y no existe responsable directo de estos activos.

No existe un equipo adecuado para que realice las funciones de Firewall, falta de personal en el area.

Falta de mantenimiento y calibracin de los equipos de transmicin de datos.

Utilizacin de software no licenciado, el cual ocaciona errores en todos los temas de seguridad de software en los equipos.

Fata de capcitacin y certificacin del DBA, poca experiencia en utilizacin de base de datos.

ACTIVO

Trabajo No 5

Documents

Transcript of Trabajo No 5