Trabajo Calificado

El trabajo se desarrollar tomando en cuenta las definiciones y criterios utilizados en clase. La presentacin de los trabajos es grupal (un trabajo por cada grupo). Se deber seleccionar un activo importante, en el contexto que ustedes elijan, y 2 (dos) amenaza. Se presentar 1 planilla, segn el formato adjunto en este documento. Se debe escoger un riesgo Alto o Extremo, y se debe realizar una mitigacin. Por ende, se deben seleccionar controles de seguridad de acuerdo al riesgo identificado. Los controles se seleccionarn del documento Trabajo - 2 Anexo A.pdf, publicado junto a este documento. El control seleccionado se identificar con el numeral del Anexo A (ejemplos: A.5.1.1 A.6.1.5 A.10.4.2) La calificacin se realizar tomando en cuenta el nmero de controles seleccionados. Asignando 1 punto por cada control seleccionado, logrando alcanzar un mximo de 5 puntos. Se bonificar el trabajo con un mximo de 2 puntos, segn el criterio del profesor. 5 puntos (5 Controles Seleccionados) + 2 Puntos (Criterio del Profesor) = 7 puntos Puntos adicionales por otros temas de mitigacin

Contexto: Describir.

Estudio del Riesgo

PSEUDNIMO / NOMBRE FECHA DE PRESENTACIN

GRUPO 3 Luis Castro / Eduardo Muoz / Vicente Derma / Claudio Santander 11 de Abril de 2013 CAUSAS Y CONSECUENCIAS

AMENAZAS QUE PODRAN CONCRETARSE

VULNERABILIDADES IDENTIFICADAS

1. Acceso no autorizado a ambiente de produccin, directorios e informacin del negocio. (A1) (A2) -

2. Keylogging (espionaje/violacin) de hardware o software (A1) (A2) 3. Corte energtico (A2). 4. Falla de hardware /server (A2). 5. No contar con un proceso de gestin de la continuidad (A3). 6. Sobrecarga de capacidad de la red (A3).

Acceso de tipo pblico a instalaciones (total o parcial). Insuficiente/inadecuada poltica de firewall. Insuficiente/inadecuada identificacin / autenticacin. Insuficiente/inadecuada procedimientos de seguridad de validacin de acceso lgico Insuficiente/inadecuada/falla de UPS y/o generador de energa Insuficiente/inadecuada infraestructura No existen enlaces redundantes (secundarios). Falta Capacity Planning. Insuficiente/inadecuada administracin de la red Insuficiente/inadecuada capacidad de la red Insuficiente/inadecuada mantencin de equipos
Aspecto de Seguridad Afectado: (1 Bajo 2 Medio 3 Alto). C I D

ACTIVOS AFECTADOS: Cdigo Activo

A1 A2

Base de datos clientes Servidor web

3 2 3

3 3 3

2 2 2

A3 Enlace transaccional TOTAL VALORES CID (mximo valor por cada aspecto afectado):

Con los valores asignados a la CID, se determina el Impacto del Riesgo utilizando la Tabla de Criterio de Impacto del Riesgo.

IMPACTO:

Insignificante

Menor

Moderado

Mayor

Catastrfico x

JUSTIFICACIN DEL IMPACTO ASIGNADO

Porque la seguridad de los datos de los clientes da valor al negocio. Segn nuestra legislacin, el no resguardarlo correctamente, atenta contra los derechos del cliente (dueo de las fotografas, informacin) , ley 19628 sobre proteccin de la vida privada. PROBABILIDAD:
Raro Improbable x Moderado Probable Casi Certeza

JUSTIFICACIN DE LA PROBABILIDAD ASIGNADA:

Segn el historial de incidentes del cliente, estos han sido casos aislados, (1 en 5 aos).

EVALUACIN DEL RIESGO *Con los valores asignados al Impacto y a la Probabilidad, se determina el Grado del Riesgo utilizando la Tabla de Grado. IMPACTO DEL RIESGO. Catastrfico Mayor. Moderado. Menor. Insignificante. 5 4 3 2 1
x

PROBABILIDAD DEL RIESGO. Casi Certeza. Probable. Moderado Improbable Raro. 5 4 3 2 1

x

GRADO DEL RIESGO Bajo Moderado Alto Extremo

Tratamiento del Riesgo

Accin (*)ACEPTAR
Control Fecha inicio Imp.

ELUDIR
Fecha termino Responsable imp. Imp.

TRANSFERIR
Responsable Seguimiento

MITIGAR
Observaciones

A.5.1.1
Documento de Poltica 01/06/2013 31/07/2013 Oficial de Seguridad Con tralora de Seguridad de la Informacin

A.10.6.1
Controles de Red

01/06/2013 30/08/2013 Adm. de Seguridad Contralora

A.10.6.2
seguridad de servicios de la re

01/06/2013 31/07/2013 Adm. de Seguridad Contralora

A.10.7.3
Manejo de informacin

01/06/2013 31/07/2013 Oficial de Seguridad Contralora

A.10.9.2
Transacciones en lnea

01/06/2013 31/07/2013 Adm. de Seguridad Contralora

Un documento de poltica de seguridad de la informacin aprobado por la gerencia, publicado y comunicado a todos los empleados. Las redes sern adecuadamente manejadas y controladas, para ser protegidas de amenazas y mantener la seguridad de los sistemas y las aplicaciones que usan la red, incluyendo la informacin en trnsito. Las caractersticas de seguridad, niveles de servicio y requisitos de manejo de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de red, ya sea que estos servicios sean provedos por la empresa o sean subcontratados. Se deben establecer procedimientos para el manejo y el almacenamiento de la informacin para proteger esta informacin de la divulgacin no autorizada o el mal uso. La informacin involucrada en las transacciones en lnea debe ser protegida para prevenir la transmisin incompleta, envo errneo, alteracin no autorizada, revelacin no autorizada, duplicacin no autorizada o la repeticin de esta. Se debiera desarrollar e implementar una poltica de uso de controles criptogrficos para proteger la informacin.

A.12.3.1
Poltica en el uso de controles criptogrficos

01/06/2013 31/07/2013 Oficial de Seguridad Con tralora

Criterio Impacto del Riesgo

La siguiente tabla permite determinar el Impacto que tiene el riesgo identificado, al considerar cmo se afecta la Confidencialidad, Integridad y Disponibilidad de los activos de informacin. Por ejemplo, Si C I D = 1 1 2, entonces IMPACTO = MENOR. Aspecto de Seguridad afectado por el riesgo C 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 3 3 3 I 1 1 1 2 2 2 3 3 3 1 1 1 2 2 2 3 3 3 1 1 1 2 2 2 3 3 3 D 1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 1 2 3 INSIGNIFICANTE MENOR MAYOR MENOR MODERADO MAYOR MAYOR MAYOR CATASTRFICO MENOR MODERADO MAYOR MODERADO MODERADO MAYOR MAYOR MAYOR CATASTRFICO MAYOR MAYOR CATASTRFICO MAYOR MAYOR CATASTRFICO CATASTRFICO CATASTRFICO CATASTRFICO

IMPACTO

Confidencialidad C-1 Pblico C-2 Reservado C-3 Secreto Integridad I-1 Bsico I-2 Estndar I-3 Individual Disponibilidad D-1 Recuperacin en fro D-2 Recuperacin en caliente D-3 Tolerante a fallas Valor # 1 2 3 4 5 Valor Raro Improbable Moderada Probable Casi Certeza

Valor 1 2 3 1 2 3 2 3 4

Descripcin Raro, puede ocurrir solo en circunstancia excepcionales Es poco probable, pudo ocurrir en algn momento Es posible, podra ocurrir en algn momento Es probable que ocurra Es muy probable que ocurra