Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El trabajo se desarrollar tomando en cuenta las definiciones y criterios utilizados en clase. La presentacin de los trabajos es grupal (un trabajo por cada grupo). Se deber seleccionar un activo importante, en el contexto que ustedes elijan, y 2 (dos) amenaza. Se presentar 1 planilla, segn el formato adjunto en este documento. Se debe escoger un riesgo Alto o Extremo, y se debe realizar una mitigacin. Por ende, se deben seleccionar controles de seguridad de acuerdo al riesgo identificado. Los controles se seleccionarn del documento Trabajo - 2 Anexo A.pdf, publicado junto a este documento. El control seleccionado se identificar con el numeral del Anexo A (ejemplos: A.5.1.1 A.6.1.5 A.10.4.2) La calificacin se realizar tomando en cuenta el nmero de controles seleccionados. Asignando 1 punto por cada control seleccionado, logrando alcanzar un mximo de 5 puntos. Se bonificar el trabajo con un mximo de 2 puntos, segn el criterio del profesor. 5 puntos (5 Controles Seleccionados) + 2 Puntos (Criterio del Profesor) = 7 puntos Puntos adicionales por otros temas de mitigacin
Contexto: Describir.
GRUPO 3 Luis Castro / Eduardo Muoz / Vicente Derma / Claudio Santander 11 de Abril de 2013 CAUSAS Y CONSECUENCIAS
VULNERABILIDADES IDENTIFICADAS
1. Acceso no autorizado a ambiente de produccin, directorios e informacin del negocio. (A1) (A2) -
2. Keylogging (espionaje/violacin) de hardware o software (A1) (A2) 3. Corte energtico (A2). 4. Falla de hardware /server (A2). 5. No contar con un proceso de gestin de la continuidad (A3). 6. Sobrecarga de capacidad de la red (A3).
Acceso de tipo pblico a instalaciones (total o parcial). Insuficiente/inadecuada poltica de firewall. Insuficiente/inadecuada identificacin / autenticacin. Insuficiente/inadecuada procedimientos de seguridad de validacin de acceso lgico Insuficiente/inadecuada/falla de UPS y/o generador de energa Insuficiente/inadecuada infraestructura No existen enlaces redundantes (secundarios). Falta Capacity Planning. Insuficiente/inadecuada administracin de la red Insuficiente/inadecuada capacidad de la red Insuficiente/inadecuada mantencin de equipos
Aspecto de Seguridad Afectado: (1 Bajo 2 Medio 3 Alto). C I D
A1 A2
3 2 3
3 3 3
2 2 2
A3 Enlace transaccional TOTAL VALORES CID (mximo valor por cada aspecto afectado):
Con los valores asignados a la CID, se determina el Impacto del Riesgo utilizando la Tabla de Criterio de Impacto del Riesgo.
IMPACTO:
Insignificante
Menor
Moderado
Mayor
Catastrfico x
Porque la seguridad de los datos de los clientes da valor al negocio. Segn nuestra legislacin, el no resguardarlo correctamente, atenta contra los derechos del cliente (dueo de las fotografas, informacin) , ley 19628 sobre proteccin de la vida privada. PROBABILIDAD:
Raro Improbable x Moderado Probable Casi Certeza
Segn el historial de incidentes del cliente, estos han sido casos aislados, (1 en 5 aos).
EVALUACIN DEL RIESGO *Con los valores asignados al Impacto y a la Probabilidad, se determina el Grado del Riesgo utilizando la Tabla de Grado. IMPACTO DEL RIESGO. Catastrfico Mayor. Moderado. Menor. Insignificante. 5 4 3 2 1
x
ELUDIR
Fecha termino Responsable imp. Imp.
TRANSFERIR
Responsable Seguimiento
MITIGAR
Observaciones
A.5.1.1
Documento de Poltica 01/06/2013 31/07/2013 Oficial de Seguridad Con tralora de Seguridad de la Informacin
A.10.6.1
Controles de Red
A.10.6.2
seguridad de servicios de la re
A.10.7.3
Manejo de informacin
A.10.9.2
Transacciones en lnea
Un documento de poltica de seguridad de la informacin aprobado por la gerencia, publicado y comunicado a todos los empleados. Las redes sern adecuadamente manejadas y controladas, para ser protegidas de amenazas y mantener la seguridad de los sistemas y las aplicaciones que usan la red, incluyendo la informacin en trnsito. Las caractersticas de seguridad, niveles de servicio y requisitos de manejo de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de red, ya sea que estos servicios sean provedos por la empresa o sean subcontratados. Se deben establecer procedimientos para el manejo y el almacenamiento de la informacin para proteger esta informacin de la divulgacin no autorizada o el mal uso. La informacin involucrada en las transacciones en lnea debe ser protegida para prevenir la transmisin incompleta, envo errneo, alteracin no autorizada, revelacin no autorizada, duplicacin no autorizada o la repeticin de esta. Se debiera desarrollar e implementar una poltica de uso de controles criptogrficos para proteger la informacin.
A.12.3.1
Poltica en el uso de controles criptogrficos
IMPACTO
Confidencialidad C-1 Pblico C-2 Reservado C-3 Secreto Integridad I-1 Bsico I-2 Estndar I-3 Individual Disponibilidad D-1 Recuperacin en fro D-2 Recuperacin en caliente D-3 Tolerante a fallas Valor # 1 2 3 4 5 Valor Raro Improbable Moderada Probable Casi Certeza
Valor 1 2 3 1 2 3 2 3 4
Descripcin Raro, puede ocurrir solo en circunstancia excepcionales Es poco probable, pudo ocurrir en algn momento Es posible, podra ocurrir en algn momento Es probable que ocurra Es muy probable que ocurra