Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
www.elmayorportaldegerencia.com
Oficina
Matriz:
Centro de
Capacitacin
Gerencial:
www.piramidedigital.com
www.elmayorportaldegerencia.com
Oficina
Matriz:
Centro de
Capacitacin
Gerencial:
www.piramidedigital.com
El mayor portal de Gerencia en espaol
CAPITULO UNO
1.1 Anlisis de Riesgos
Los diferentes casos relacionados con la necesidad de mejorar la seguridad de la informacin de las
empresas aumentan diariamente; las amenazas siempre han existido, la nica diferencia es que
actualmente, estas amenazas son mucho ms difciles de detectar y mucho, ms rpidas. Por estas
razones, las empresas deben estar siempre en alerta y conocer qu sistemas de seguridad puede
implementar, realizando previamente un anlisis de riesgos que permita evitar o minimizar las
consecuencias no deseadas y no esperadas. Es importante tener en cuenta que previamente a
implementar un sistema de seguridad, se debe conocer de forma detallada el entorno de los procesos
de negocio de la organizacin, lo que permitir priorizar las acciones de seguridad que se deben
aplicar a los procesos clave del negocio, los ms crticos y los que estn vinculados a cumplir los
objetivos de la organizacin.
El anlisis permite rastrear las distintas amenazas que pueden afectar a activos vulnerables y permite
que se generen recomendaciones las que hacen ms sencilla la correccin de los activos y qu se
debe hacer para protegerlos, este anlisis tiene como fin detectar los riesgos de los cuales los activos
pueden ser vctimas y que probabilidad de ocurrencia existe. Toda amenaza se puede convertir en
realidad, es por ello que el momento que se la detecte debe ser eliminada al mximo para que el
ambiente que se busaca proteger se encuentre libre de riesgos de incidentes de seguridad.
El anlisis de riesgos, se define como:
Una actividad centrada en la identificacin de fallas de seguridad que evidencien vulnerabilidades que pueden
ser explotadas por amenazas, provocando impactos en los negocios de la organizacin: es una actividad de
anlisis que pretende, a travs del rastreo, identificar los riesgos a los cuales los activos se encuentran
expuestos. 1
Adems, es una actividad que busca encontrar la consolidacin de las vulnerabilidades que permitan
identificar los pasos que se deben seguir para su correccin, identificar las amenazas que pueden
explotar las vulnerabilidades para corregirlas o eliminarlas, identificar los impactos potenciales que
pudieran tener los incidentes, aprovechar las vulnerabilidades encontradas y determinar las
recomendaciones para que las amenazas sean corregidas o reducidas.
El anlisis de riesgos como el primer elemento de la accin de seguridad, es un factor determinante
para los distintos procesos crticos en los que se analizan todas las amenazas de las que pueden ser
vctimas. De esta manera, son considerados y analizados todos los activos de la organizacin, para
que estn libres de vulnerabilidades, con el propsito de reducir los riesgos.
Un anlisis de riesgos tradicional se construye por medio de un conjunto de actividades
preestablecidas que tiene como objetivo: identificar el proceso a considerar, saber cules son sus
elementos o partes constituyente y cules son los equipos necesarios para efectuarlo. 2
El primer paso para realizar un anlisis de riesgos es identificar la relevancia de cada uno de los
procesos de la empresa, para priorizar las acciones de seguridad e iniciar el trabajo de
implementacin de seguridad en las reas estratgicas que puedan generar un mayor impacto en la
organizacin, si se llegara a presentar un incidente.
1
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
2
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
El segundo paso, es determinar la relevancia de los activos determinantes para el proceso del
negocio, lo cual marca un rumbo definitivo de las acciones de seguridad en la empresa, se debe
asegurar que los activos cumplan con su propsito, en cuanto a la seguridad de la informacin y
garantizar su confidencialidad, integridad y disponibilidad.
El anlisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar
normas de seguridad para que puedan cumplir los siguientes propsitos:
Identificar los puntos dbiles, para que sean corregidos y as disminuir las vulnerabilidades presentes en
los activos de los procesos de negocios.
Conocer el contenido de la informacin manipulada por los activos, con base en los principios de la
confidencialidad, integridad y disponibilidad.
Dirigir acciones para incrementar los factores tecnolgicos y humanos en las reas crticas y
desprotegidas.
Permitir una gestin peridica de seguridad, con el objetivo de identificar nuevas amenazas y
vulnerabilidades, adems de la verificacin de la eficacia de las recomendaciones provistas 3
Hay muchas normas, prcticas y mtodos disponibles para hacer frente a los riesgos de seguridad de
la informacin. Seleccionar la opcin correcta de una organizacin, depende de leyes y reglamentos,
las metas, los objetivos organizacionales, las prcticas de gestin y las polticas de la organizacin
que definen los parmetros, dentro de los cuales, el riesgo de la seguridad del proceso de gestin
debe respetar.
Hay muchas metodologas que se ocupan de las partes individuales de las necesidades de una
organizacin de gestin de riesgos. Las organizaciones pueden mirar lo que otros dentro de su
dominio han utilizado como opciones viables, centrndose en las leyes y reglamentos. Las
organizaciones pueden tener el mandato de aplicar las normas especficas para lograr el
cumplimiento normativo. Adems, el tamao de la organizacin y los recursos financieros ayudarn
a determinar las opciones apropiadas.
Por ejemplo, la adopcin de una norma general de diligencia debida, como la Organizacin
Internacional de Normalizacin (ISO) 17799, puede ser prohibitivamente costoso y no garantiza que
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
4
Alberts, Christopher. Introduction to the Octave approach. Internet. www.itgovernanceusa.com/files/ Octave.pdf
Acceso: (10 de enero de 2013)
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
los problemas de seguridad de una organizacin especfica sean abordados5. Cada organizacin
debe entender el riesgo y el plan de proteccin adecuado.
Un riesgo comprende un evento, la incertidumbre y una consecuencia. El evento bsico en el que
estamos interesados es una amenaza. La incertidumbre se manifiesta en gran parte de la informacin
que se ha recopilado durante la evaluacin.
La incertidumbre se refiere a si existe una amenaza a desarrollar, as como si la organizacin est
suficientemente protegida contra el factor amenaza, en muchas metodologas de riesgo, la
incertidumbre se representa con probabilidad de ocurrencia.
Para hacer frente a la incertidumbre inherente a los riesgos, se propone una tcnica de anlisis sobre
la base de la planificacin de escenarios.
Por ltimo, la consecuencia que en definitiva importa en el riesgo de seguridad de la informacin, es
el impacto resultante en la organizacin debido a una amenaza. El impacto describe cmo la
organizacin podra verse afectada segn los resultados de las siguientes amenazas:
Los resultados mencionados anteriormente estn directamente relacionados con los activos y
describen el efecto de la amenaza sobre un activo.
El enfoque OCTAVE utiliza una valoracin de evaluacin de riesgos basada en los activos. El riesgo
de seguridad debe ser considerado cuidadosamente sobre la base de las vulnerabilidades
organizacionales y tecnolgicas que ponen en peligro a un grupo de activos. Al tener en cuenta ms
que slo las vulnerabilidades tecnolgicas que un conjunto de herramientas de hardware puede
identificar una organizacin e infraestructura de software, el enfoque OCTAVE aborda las siguientes
preguntas:
Qu activos requieren proteccin?
Qu nivel de proteccin se necesita?
Cmo podra estar en peligro un bien?
Cul es el impacto si la proteccin falla?7
Un enfoque completo de evaluacin del riesgo cuenta con las siguientes caractersticas:
Permite a las personas encargadas de tomar decisiones establecer prioridades sobre la base de lo que es
importante para la organizacin
Incorpora las cuestiones de organizacin relacionadas con cmo la gente usa la infraestructura de
computacin para satisfacer los objetivos de negocio de la organizacin?
Woody, Carol, PhD. Applying Octave: Practitioners report. CMU/SEI-2006-TN-010,(Mayo 2006) Pittsburg PA, 2006
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 123-127
7
Dorofee, Audrey. Asset-Based information security risk assessments, Cutter Consortium, Enterprise Risk Management
and Governance Executive Report. Vol. 2, No. 6. (Marzo 2009 )Arlington MA, 2009
6
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se debe utilizar un mtodo flexible que puede ser usado especficamente en funcin de cada
organizacin8
Mediante el uso de un enfoque equilibrado que combina consideraciones tecnolgicas con otras
organizaciones, a travs de un segmento razonable de la organizacin, la cual debe ser capaz de
evitar sobreproteger algunas reas mientras que baje el nivel de proteccin de los dems.
La figura 1 proporciona una representacin humorstica pero frecuentemente cierta de la gestin de
seguridad de la informacin en una organizacin que slo considera una parte de los riesgos de
seguridad que pueden afectar a su organizacin.
Figura 1: Administracin de riesgos de seguridad no balanceado
Realizado por: Bieber, David. The critical success factor method. Internet.
www.cert.org/archive/pdf/04tr010.pdf Acceso (24 de enero de 2013)
Actualmente, los riesgos informticos deben ser considerados dentro del contexto del negocio y dado
que cada organizacin tiene una misin, se debe considerar en ella, la administracin del riesgo
informtico, pues juega un rol crtico y fundamental que contribuye y sustenta el cumplimiento de
las metas institucionales.
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 118
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
diversos medios que pudiesen ser utilizados por l y por otras personas, adems de la posibilidad de
ser llevados de un lugar a otro. La informacin valiosa era registrada en objetos preciosos y
sofisticados, que se almacenaban con mucho cuidado en locales de difcil acceso, a cuya forma y
contenido solo tenan acceso quienes estuviesen autorizados o listos para interpretarla.
Actualmente, la informacin es el objeto de mayor valor para las empresas, con el avance y progreso
de la informtica y las redes de comunicacin se presenta un nuevo escenario, donde los objetos del
mundo real se representan por bits y bytes, que ocupan lugar en otra dimensin y poseen formas
diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.9
Por esto y otros motivos, la seguridad de la informacin es un asunto tan importante para todos, pues
afecta directamente a los negocios de una empresa. La seguridad de la informacin tiene como
propsito proteger la informacin registrada, independientemente del lugar en que se localice.
Seguridad de la informacin es mucho ms que la instalacin de un firewall, la aplicacin de parches para
reparar las vulnerabilidades recientemente descubiertas en el software del sistema o cerrar con seguro la caja
con sus cintas de copia de seguridad. Seguridad de la informacin es determinar lo que hay que proteger y por
qu, lo que necesita ser protegido de, y cmo proceder durante el tiempo que exista una amenaza. 10
La informacin
El anlisis de seguridad tiene como objetivo: proteger a los activos de una empresa con base en la
preservacin de tres principios bsicos:
Integridad: garantiza que la informacin no haya sido alterada en su contenido y que por lo tanto,
sea ntegra. Una informacin es ntegra, cuando no ha sido alterada de forma indebida o no
autorizada. Cuando ocurre una alteracin no autorizada de la informacin en un documento, quiere
decir que el documento ha perdido su integridad, la integridad de la informacin es fundamental para
el xito de la comunicacin.
Buscar la integridad es asegurarse que slo las personas autorizadas puedan hacer alteraciones en la
forma y contenido de una informacin, as como en el ambiente en el cual, es almacenada y por el
cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario
que todos los elementos que componen la base de gestin de la informacin se mantengan en sus
condiciones originales definidas por sus responsables y propietarios. En resumen, garantizar la
integridad es uno de los principales objetivos para la seguridad de la informacin, de un individuo o
de una empresa.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
verdadera naturaleza de los problemas de fondo mediante la evaluacin de sus necesidades de seguridad y
riesgos en el contexto de su negocio.12
Teniendo en cuenta las variedades y las limitaciones de los mtodos actuales de evaluacin de la
seguridad, es fcil confundirse cuando se trata de seleccionar un mtodo apropiado para la
evaluacin de riesgos de seguridad de la informacin.
La mayora de los mtodos actuales son bottom-up - que empiezan con la infraestructura
informtica y centrarse en las vulnerabilidades tecnolgicas, sin tener en cuenta los riesgos para la
misin de la organizacin y los objetivos de negocio.13
Una mejor alternativa es comenzar con la propia organizacin y determinar lo que hay que proteger,
por lo que est en riesgo y desarrollar soluciones que garanticen su disponibilidad.
Una evaluacin cuidadosa de las necesidades de seguridad y riesgos en este contexto ms amplio,
debe preceder a cualquier implementacin de seguridad para asegurarse de que todos los problemas
pertinentes, subyacentes son primero descubiertos.
El enfoque OCTAVE para las evaluaciones de seguridad auto-dirigidos fue desarrollado en el Centro
de Coordinacin CERT. Este enfoque est diseado para:
Pese a las amenazas de esos activos, analizar las vulnerabilidades que implican la tecnologa y las
prcticas14
OCTAVE permite a cualquier organizacin desarrollar las prioridades de seguridad basada en las
preocupaciones de la organizacin de negocios particulares. Este enfoque proporciona un marco
coherente para alinear las acciones de seguridad con los objetivos generales.
El primer paso en el ciclo de seguridad de la informacin, es identificar las distintas amenazas de las
que pueden ser vctimas las empresas, poder identificar estas amenazas, permite que se conozca los
puntos dbiles de los activos de la organizacin.
Esta exposicin lleva a la prdida de uno o ms principios bsicos de la seguridad de la informacin,
causando impactos en el negocio de la empresa, aumentando aun ms los riesgos a los que est expuesta la
informacin. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos dbiles. 15
12
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25
de 2013)
13
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25
de 2013)
14
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25
de 2013)
15
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de enero
de enero
de enero
Internet.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
Internet. www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Los distintos problemas en la seguridad de la empresa aumentan en la medida que las amenazas
pueden explotar las vulnerabilidades y por tanto, causar dao en los activos. Estos daos pueden
causar que la confidencialidad, integridad o disponibilidad de la informacin se pierda, causando
impactos en el negocio de la empresa.
Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de
mucho menor impacto para los activos y la empresa.
El propsito de un anlisis de seguridad es:
Octave S
Operationally Critical
Threats, Assets and
Vulnerability Evaluation 17
Es una aproximacin al
manejo de riesgos en
seguridad informtica.
Es una suite de herramientas,
ISO 17799
Sistema de Gestin de
Seguridad de la
Informacin18
Es una norma internacional
que ofrece recomendaciones
para realizar la gestin de la
seguridad de la informacin
COBIT
Control Objectives for
Information and Related
Technologies 19
Es un conjunto de mejores
prcticas para el manejo de
informacin, mediante la
investigacin, el desarrollo y
16
www.piramidedigital.com
El mayor portal de Gerencia en espaol
tcnicas y mtodos de
evaluacin que sirven de gua
en la planificacin estratgica
basada en el riesgo y la
seguridad de la informacin.
Los aspectos organizativos,
tecnolgicos y el anlisis de
riesgos de seguridad de
informacin se
complementan, lo que permite
al personal de la organizacin
tener una imagen completa de
las necesidades de seguridad
de la informacin en la
organizacin.
Enfocado para pequeas y
medianas empresas.
proveedores
los
implantar,
de
mejorar un Sistema de
sino
seguridad
Gestin de la Seguridad
informtica
de la Informacin (SGSI).
la
para
de
procesos
Actuar).
manejar
riesgos
o Establecer
probabilidad
que
un
recurso
informtico. quede
La
expuesto
mantener
seguridad
de
la
basa
de
servicios,
tambin
los dueos de
en
de
negocio.
el
los
El
siguiente
un
informacin
evento
el
la
impacto
en
la
organizacin.
El
es
implementar
una
que
la
un
o Determinar
las
Sistema de Gestin de la
recursos de TI usando un
medidas
de
Seguridad
conjunto
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de
la
estructurado
de
www.piramidedigital.com
El mayor portal de Gerencia en espaol
seguridad
que
minimizan
ayudar
neutralizan
el
organizacin
una
que
cumpla
informacin
razonable.
incentivos
de
mercadotecnia,
los
informacin
las
de
y
en
seguridad.
financieros
oportunidades
necesita
crecimiento.
efectividad,
Protege
adecuadamente
confidencialidad, integridad,
tradicionales enfocados a
disponibilidad, cumplimiento
tecnologa.
la
y confiabilidad.
negocio.
continuidad
del
eficiencia,
Orientado
procesos.
define
de
COBIT
la
organizacin.
actividades de TI en un
unidades de negocio y de
inversiones
las
oportunidades de negocio.
Proporciona
una
necesidades de seguridad
comn para
desarrollar
de la organizacin.
normas
pequeos
equipos
personal
de
hacer
frente
las
base
seguridad
de
Organizar,
las
Adquirir
las
prctica
es
gestin de la seguridad.
Flexible:
porque
nico
para
cada
su
dentro
de
eficaz
de
la
proceso
de seguridad y capacidad
general
los
controles de aplicacin.
empresarial
los
planeadas
favorablemente
preventivas
puede
riesgo a un costo
o Tomar decisiones
Informacin,
de recuperacin y el nivel
de habilidad.
empresa,
Evolucionado: OCTAVE
estado
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
es
de
entender
sus
el
propios
www.piramidedigital.com
El mayor portal de Gerencia en espaol
traslad a la organizacin
sistemas de TI y decidir qu
hacia
nivel de administracin y
una
vista
funcionamiento
riesgos y la seguridad y se
objetiva
enfoca en la tecnologa en
COBIT
del
nivel
ha
de
desarrollado
Equipo:
recursos Proteger
Equipo:
adecuadamente Mantener
informacin
de
importantes.
la
decisiones de negocios.
anlisis de riesgos.
negocio.
Relacionar
amenazas
vulnerabilidades.
Evaluar riesgos.
proteccin.
continuidad
del
que
organizacin.
nivel aceptable.
Maximizar el retorno de
inversiones.
Proporcionar
una
comn para
desarrollar
o Anlisis
de
los
Apoyar el cumplimiento de
las
leyes,
de
Seguridad de
Informacin.
enfoque
del
Gobierno de TI
de
Metas de negocio
la
Metas de TI
o Organizacin de la
Seguridad de la
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
reglamentos
acuerdos.
gestin de la seguridad:
o Poltica
cubrir son:
riesgos
relacionados a TI bajo un
Componentes:
Componentes:
el Basado en el modelo de la reas de
los
normas de seguridad.
Componentes:
Los elementos
Mantener
Indicadores de rendimiento
Recursos de TI
Dominios COBIT
www.piramidedigital.com
El mayor portal de Gerencia en espaol
amenazas
cuya
ocurrencia
pueda
producir prdidas a
de
vulnerabilidades
seguridad de los
o Anlisis de todos
los riesgos y sus
las
operaciones de la
de
Implementar
o Entregar
Recursos
Dar
Soporte
o Monitorear y Evaluar
o Seguridad Fsica y
Ambiental.
de
Procesos COBIT
Objetivos de Control
las
Comunicaciones y
Operaciones.
o Control
de
Accesos.
las
Desarrollo
medidas
de
Mantenimiento de
seguridad
que
actuaran como un
escudo
o Adquisicin,
organizacin.
o Anlisis
de Informacin.
o Gestin
sistemas
en
o Adquirir
Humanos.
en los controles de
impactos
o Gestin de Activos
o Seguridad de los
la organizacin.
o Anlisis
o Planear y Organizar
Informacin.
de
Sistemas
de
Informacin.
o Gestin
de
proteccin total o
Incidentes en la
Seguridad de
riesgo.
Informacin.
Principios
Atributos
Continuidad
Salidas
Negocio.
o Gestin
la
de
del
o Cumplimiento.
Mtodo Octave S
Fase 1:
o Identificar
Aplicacin de la Norma:
Auditoria:
o Valoracin
informacin de la
nivel
organizacin.
adecuacin,
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Implantacin COBIT:
Establecer principios y
del
objetivos.
de
Identificar
reas
de
enfoque.
Centro de Capacitacin Gerencial
Juan Pascoe No.36 y Myriam de Sevilla. Campos Verdes.
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cuendina, Pichincha. Ecuador.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
o Crear perfiles de
implantacin
amenazas.
gestin
seguridad
Fase 2:
o Examinar
Implantar de acuerdo a
en:
lgica,
el negocio.
Elaborar herramientas de
fsica, organizativa
y legal.
infraestructura
tecnolgica y su
apoyo COBIT:
o Encuestas
Consultora:
o Conociendo
nivel
el
o Matrices
de
Madurez
o Val IT
cumplimiento
Fase 3:
o Identificar
actual,
se
o Herramientas
debe
determinar el nivel
analizar riesgos.
o Desarrollar
de
automticas
Planificar
mnimo aceptable
estrategias
de
y el nivel objetivo
mitigacin
de
en la organizacin.
planes
de
mejoras
de
control.
Conclusiones
Implantacin
Recomendaciones
proteccin.
Resultados:
Resultados:
Resultados:
Estrategia de proteccin Certificacin ISO 27001: Refleja un amplio rango de
(define el rumbo de la
organizacin).
establecer,
implantar,
Certificaciones:
mitigacin
mantener y mejorar un
o CISA
Sistema de Gestin de la
o CISM.
riesgo).
Seguridad
de
la
o CGEIT
informacin
segn
el
o CRISC
corto plazo).
Ciclo Deming.
Plan
de
Despus de implementado:
Plan de accin
Monitoreo
Control
Despus de implementado:
Despus de implementado:
Proceso
de
mejora Proceso de mejora continua.
continua.
Plan de accin
Plan de accin
Monitoreo y Control
Monitoreo y Control
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
CAPITULO DOS
ANALISIS DE LA SITUACION ACTUAL DE LA EMPRESA
2.1
En base a la Tabla 1 presentada en el Captulo Uno, se seleccion Cobit 4.1 como el modelo para
realizar el anlisis de la situacin actual de la empresa Pirmide Digital Ca. Ltda. en base al
framework de mejores prcticas de Cobit 4.1, dirigida a la gestin de tecnologa de la informacin de
la empresa.
En la actualidad, los gerentes de negocio y profesionales de TI estn interesados en aplicar un marco
de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado internacionalmente, es por
esto que el modelo que propone Cobit se puede orientar a todos los sectores de una organizacin y
sirve para auditar la gestin de control de los sistemas de informacin.
Los principales beneficios de implementar Cobit 4.1 son:
20
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Alineacin estratgica: se enfoca en garantizar la alineacin entre los planes de negocio y de TI: en
definir, mantener y validar la propuesta de valor de TI, y en alinear las operaciones de TI con las
operaciones de la empresa.
Entrega de valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos.
Administracin de riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de la
empresa, un claro entendimiento de los requerimientos de cumplimiento, trasparencia de los riesgos
significativos para la empresa y la inclusin de las responsabilidades de administracin de riesgo dentro
de la organizacin.
22
21
22
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 9
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 6
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 26
Cobit define las actividades de TI en un modelo de procesos que pertenecen a cuatro dominios:
Planear y Organizar (PO): este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Adquirir e Implementar (AI): para realizar la estrategia de TI, se necesita identificar soluciones de TI y
tambin implementarlas e integrarlas en el proceso de negocio.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Entrega y Soporte (DS): este dominio trata de la entrega en s de los servicios requeridos, lo cual incluye
la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administracin de los datos y de las instalaciones operativas.
Monitorear y Evaluar (ME): todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y de cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y el
gobierno de aprovisionamiento. 23
Los cuatro dominios propuestos por Cobit estn divididos en treinta y cuatro procesos y ms de
trescientos objetivos de control.
Realiz
ado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 12-13
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Entendimiento compartido entre todos los Interesados, con base en un lenguaje comn
24
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Efectividad: tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y
se proporcione de una manera oportuna, correcta, consistente y utilizable.
Eficiencia: consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso
de los recursos.
Integridad: est relacionada con la precisin y completitud de la informacin, as como con su validez de
acuerdo a los valores y expectativas del negocio.
Disponibilidad: se refiere a que la informacin est disponible cuando sea requerida por los procesos del
negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades
necesarias asociadas.
Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales
est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como
polticas internas.
25
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 10-11
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
2.1.5 Recursos de TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos
definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa
para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de
la informacin del negocio. Para responder a los requerimientos que el negocio tiene hacia TI, la
empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada. 26
Los recursos de TI identificados en COBIT 4.1 se definen:
Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que
procesan informacin.
Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de
informacin, en cualquier forma en que son utilizados por el negocio.
Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por
outsourcing o contratadas, de acuerdo a como se requieran.
2.2
27
Caracterizacin de la Empresa
2.2.1 Misin
Proveer al mercado latinoamericano, de las ms efectivas herramientas para optimizar la gestin
gerencial, mediante soluciones integrales de alta calidad, con tecnologa de punta y un equipo
profesional altamente capacitado.28
26
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,11
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,12
28
Entregado por la empresa Pirmide Digital Ca. Ltda.
27
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
2.2.2 Visin
Ser y ser considerados como la empresa lder en el mercado latinoamericano, en consultora y
capacitacin para la alta gerencia.29
2.2.3 Valores
Responsabilidad
Cultura de servicio
Compromiso
Constancia
Trabajo en equipo
Comunicacin
tica empresarial
Confianza en la palabra30
29
30
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Otra de sus fortalezas, es la flexibilidad en sus proyectos y programas, ya que disean las soluciones
de manera particularizada, de acuerdo a las necesidades y circunstancias especficas de cada
empresa, de cada cliente.
Su metodologa de trabajo se basa en comprender que cada cliente es nico y especial. Las
soluciones enlatadas no son una opcin y sus historias de xito as lo demuestran.
Un principio fundamental que gua su trabajo, es transferir las habilidades, destrezas y
conocimientos a sus clientes de forma prctica y aplicable, logrando que sean capaces de continuar
su crecimiento de manera independiente.
Convergencia Tecnolgica
Estrategia
Gerencia
Gerencia de IT
Plan de Mercadeo
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Inters Gerencial:
Coaching para Lderes
Emprendedor Electrnico
Desarrollo de Ejecutivos:
Diplomado en Gerencia de Centros de Contacto
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Consultoras en desarrollo organizacional: en las que se brinda ayuda ayudar con procesos de:
Seleccin de Personal:
o Bsqueda de talentos
o HeadHunting
o Evaluaciones de seleccin de personal
Administracin de Nmina:
o Outsourcing de personal
o Administracin de beneficios y compensaciones
o Valoracin de cargos y competencias
o Estadsticas Gerenciales
o Pago de obligaciones laborales
o Manejo de conflictos
o Outplacement
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Evaluacin de Desempeo:
o Balanced Scorecard
o Indicadores de Gestin
o Identificacin de competencias de gestin
o Evaluacin de desempeo de 360 grados
Procesos y Procedimientos:
o Mapeo de procesos
o Las 7 herramientas claves de procesos
o Diagnstico organizacional en 4 dimensiones
o Tiempos y movimientos
o Indicadores financieros y de produccin
Planificacin Estratgica:
o Definicin de Objetivos Estratgicos
o Mapa Estratgico
o Indicadores Claves de Gestin
o Indicadores Claves del Negocio
o FODA
o Plan Operativo Anual POA
Certificaciones:
o ISO
o COPC
Costeo ABC
Planificacin Estratgica
Indicadores de Gestin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
De acuerdo al grfico anterior, se concluye que la ubicacin del rea de tecnologa no es adecuada,
ya que debe estar en un nivel de asesora para poder mejorar el nivel de decisin de la Gerencia de
Tecnologa.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Extinguidores de incendio
Cinco UPSs
La empresa cuenta dentro de su documentacin formal con una ley de polticas de salud, que es un
acuerdo firmado por cada empleado en el que se garantiza un servicio de salud preventivo y
curativo, as como con un cdigo de conducta en el que se expresa claramente la posicin de la
empresa en relacin con el cumplimiento de las leyes, el respeto a las normas ticas y el compromiso
con las personas que forman parte de la compaa y con un acuerdo de confidencialidad que debe
firmar todo empleado y se compromete a no divulgar informacin delicada de la empresa. Tambin
cuenta con un plan de la red de datos en la que se muestra como est estructurada la red dentro del
edificio.
2.2.8.2 Seguridad lgica
Para el acceso a cada mquina cliente o servidores, cada usuario cuenta con una clave y contrasea
personal, las que deben ser cambiadas cada seis meses por motivos de seguridad.
Para el control de accesos a ambas oficinas, cada empleado cuenta con una identificacin con su
nombre, cargo y una fotografa y tambin con una tarjeta magntica para el acceso desde el
parqueadero hasta cada una de las oficinas de la empresa.
2.2.8.3 Seguridad legal
Los cinco servidores que tiene la empresa tienen garanta de fbrica en caso de daos o desperfectos,
adems se cuentan con contratos de mantenimiento y soporte para el servidor principal.
Los servidores, las estaciones de trabajo y perifricos estn asegurados en caso de robos o
desperfectos.
2.2.8.4 Seguridad de datos
Para proteger adecuadamente los datos, aplicaciones y software residentes en los servidores, se han
definido procesos de respaldo cuya ejecucin est a cargo del Asistente de Tecnologa, debe revisar
que los respaldos que se ejecutan automticamente se hayan hecho adecuadamente y realizar un
respaldo manual una vez al mes de la pgina web de la empresa; adems de realizar respaldos diarios
del servidor de la base de datos, en caso de que se presente algn problema
Existe una replicacin de datos en un servidor alojado en California, Estados Unidos.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Servidor web
Servidor proxy
Servidor de seguridad
Las actividades en la empresa se realizan de lunes a viernes desde las 9:00 am hasta las 16:00.
2.2.9.1 Topologa de red
La empresa Pirmide Digital Ca. Ltda. utiliza el enlace dedicado del proveedor de servicio de
internet Andinatel, el que se enlaza con la oficina ubicada en el Valle de los Chillos por medio de la
recepcin del router a travs de una Red Privada Virtual (VPN) para tener acceso a archivos o
documentos compartidos y monitorear los servidores desde donde sea que se encuentren.
La empresa cuenta con una conexin de banda ancha de 256 Kbps para ambas oficinas, y como se
observa en la siguiente grfica, para la distribucin de informacin se emplea la siguiente topologa
de red:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
2.3
Nivel
0
No existente
1
Inicial
2
Repetible
Descripcin
Carencia completa de cualquier proceso reconocible. La empresa no ha
reconocido siquiera que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estndar en su
lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes reas que realizan la misma tarea.
No hay entrenamiento o comunicacin formal de los procedimientos
estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
Los procedimientos se han estandarizado y documentado, y se han
31
Arbelez Roberto. Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la seguridad en las
organizaciones. Internet. www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05ModelosMadurezSeguridadInformatica.pdf Acceso: 11 de febrero de 2013
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Definido
4
Administrado
5
Optimizado
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 19
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la
gerencia TI?
La planificacin estratgica se elabora por un
requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido
sustancialmente por la gerencia?
La planificacin estratgica se comparte
ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
demandas administrativas?
Hay procesos para identificar actualizaciones del
plan?
Dentro de la empresa los procesos de
planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando
y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el
personal?
Existe algn procedimiento para examinar el
proceso en una base regular?
La estrategia global TI incluye una definicin
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO1:
Plan estratgico de TI
Planes tcticos de TI
Se debe definir una poltica de cmo y cundo se va a realizar la planeacin estratgica de TI,
esta planeacin debe ser conocida por todo el equipo de trabajo y se debe garantizar que sea
factible y estructurado.
En la estrategia general de TI, se debe incluir una definicin de los riesgos a los que est
expuesta la organizacin.
32
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 30
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO3:
Estndares tecnolgicos
El personal encargado debe aprender sus habilidades sobre planeacin tecnolgica a travs de un
aprendizaje y una aplicacin repetida de las tcnicas.
Debe existir un entrenamiento formal y comunicacin de los roles de todos los empleados y sus
responsabilidades.
33
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 38
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
completa?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO4:
Comit estratgico de TI
Comit directivo de TI
Estructura organizacional
Supervisin
Personal de TI
Personal clave de TI
La unidad de TI debe organizarse de tal manera que sea capaz de responder de forma tctica a las
necesidades de los clientes y los distintos proveedores.
Se debe revisar que el rea de TI se alinee con el negocio y que haya una correcta participacin
de esta rea en los procesos de decisin clave.
34
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 42,43
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO9:
Identificacin de eventos
Evaluacin de riesgos de TI
Los procesos de mitigacin de riesgos deben ser implementados donde se identifiquen los
riesgos.
Debe haber un entrenamiento al personal para que entiendan que los riesgos de TI son
importantes y necesarios y deben ser siempre considerados.
35
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 64
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI5:
Control de adquisicin
Seleccin de proveedores
Los distintos procesos de adquisicin se deben utilizar en proyectos menores y deben ser
bastante visibles para luego implementarlos en cada proyecto de la empresa.
36
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 90
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI6:
Cambios de emergencia
Si
Parcialmente
No
Anlisis
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 94
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS1:
Definicin de servicios
Se debe definir medidas para medir el desempeo, pero en este nivel de madurez aun se las
define de forma imprecisa.
38
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 102
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
procedimientos de seguridad?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS5:
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Seguridad de red
Se debe analizar la informacin que producen los sistemas relevantes al aspecto de seguridad.
39
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 102
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS10:
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Seguridad de red
Contar con suficientes pistas de auditora de problemas y soluciones, los cuales estn integrados
con la administracin de datos de configuracin, permitiendo la oportuna resolucin de los
problemas reportados.
40
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 112
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME1:
Mtodo de monitoreo
Acciones correctivas41
0
41
Pregunta
Si
Parcialmente
No
Anlisis
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 154
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME2:
Revisiones de Auditora
Excepciones de control
Acciones correctivas42
42
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 158
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Asignar de manera formal las tareas para monitorear la efectividad de los controles internos y
evaluarlos en base a la necesidad de los servicios de informacin.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
2.4
Anlisis de Resultados
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la
unidad de TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento
y las habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
administrar la organizacin de TI y sus relaciones con los dems departamentos, adems debe
haber un deseo emergente del personal de entender que los riesgos de TI son importantes y
necesarios y deben ser siempre considerados.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear
mecanismos automticos de advertencia y deteccin, para su evaluacin continua, se debe
contar con suficientes pistas de auditora de problemas y soluciones, los cuales deben ser
integrados con la administracin de datos de configuracin, permitiendo de esta manera, la
oportuna resolucin de los problemas reportados, tambin hay que contar con informacin de los
problemas pasados que ha enfrentado la empresa y posibles problemas futuros, para optimizar la
solucin de problemas internos de la organizacin.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
de los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al
usuario, a ms de establecer programas de mejora continua dentro de la empresa.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
CAPITULO TRES
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA
3.1
Para realizar correctamente la evaluacin OCTAVE-S dentro de la empresa Pirmide Digital Ca.
Ltda. es necesario definir un equipo de trabajo interdisciplinario, el que ser responsable de llevar a
cabo varias actividades, se debe contar con personal del rea de Altos Directivos, rea Operativa y
rea de Personal en General; esto ayudar a tener una perspectiva ms amplia de la empresa a nivel
tecnolgico y organizacional.
43
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 8
44
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 9
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tener conocimiento de los procesos clave que maneja la empresa para la ejecucin normal de sus
actividades y tareas.
Tener autoridad de seleccionar y autorizar el tiempo para los Directivos de reas operativas.
Amplio conocimiento con los tipos de activos de informacin que utiliza la empresa.
45
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 11
46
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 13
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
seguridad de cada activo, las estrategias de proteccin con las que cuenta la empresa y las
vulnerabilidades organizacionales.
3.1.5.1 Perfil del Personal en General
Conocer los tipos de activos de informacin usados en la organizacin y cmo son utilizados.
Conocimiento respecto al tema de riesgo e impacto hacia los activos crticos de las tecnologas de
informacin.
Gerente de Tecnologa
Gerente de Consultora
3.2
Asistente de Tecnologa
En esta fase, se realiza una evaluacin de los aspectos organizacionales donde el equipo de trabajo
define el impacto de los criterios de la evaluacin que se utilizar para realizar una evaluacin de
riesgos, tambin se identificarn cuales son los activos organizacionales y se evaluarn las prcticas
de seguridad que se practican actualmente en la empresa.
En esta fase, se identifican dos procesos:
Figura 8: Mtodo Octave-S, Fase Uno
47
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 15
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
Bajo Impacto
Mediano Impacto
La reputacin de la
empresa se afecta en
un mnimo porcentaje,
poco o nada de
esfuerzo o gasto es
necesario para
recuperarse si se
presenta la situacin de
prdida de confianza
del cliente.
La reputacin de la
empresa se daa, y
esfuerzo y un poco
de gasto
econmico se
requiere para
recuperarse.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Alto Impacto
La reputacin de la
empresa est
irremediablemente
destruida o daada.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 34-35
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Finanzas
Tipo de Impacto
Bajo Impacto
Mediano Impacto
Alto Impacto
Costos operativos
Aumento de menos de
2% anual en costos
operativos
Gastos anuales de
costos operativos
aumentan del 2%
al 10%
Anualmente los
costos operativos
aumentan el 10%
Prdida de
ingresos
Menos de 5% de
prdida de ingresos
anuales
De 5% al 12% de
prdida de
ingresos anuales
Prdida financiera
Prdida financiera de
menos de $5000
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 36-37
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Productividad
Tipo de Impacto
Horarios del
personal
Bajo Impacto
Mediano Impacto
El horario del
personal se
increment entre el
5% al 20% en 28
da(s)
Alto Impacto
El horario del
personal se
increment en ms
de un 20% en 28
da(s)
Otro:
Otro:
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 38-39
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Seguridad/Salud
Tipo de Impacto
Vida
Bajo Impacto
Mediano Impacto
No hay prdida o
amenaza significativa
en la vida del personal
Salud
Seguridad
La vida de los
miembros del
personal se ven
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Degradacin mnima,
Discapacidad
inmediatamente
temporal o
tratable de la salud de
recuperable de la
los miembros del
salud de
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad cuestionada Seguridad afectada
Alto Impacto
Prdida de vidas de
miembros del
personal
Deterioro
permanente de la
salud de miembros
del personal
Seguridad violada
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 40-41
Tabla 18: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales
Multas/Sanciones Legales
Tipo de Impacto
Bajo Impacto
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Mediano Impacto
Alto Impacto
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Multas
Multas inferiores
$1000 son recaudadas
Multas entre
$1000 y $5000
son recaudadas
Multas mayores a
$5000 son
recaudadas
Demandas
Demandas no frvolas
de menos de $1000 son
presentadas en contra
de la organizacin
Investigaciones
No hay preguntas
formuladas por el
gobierno u otras
organizaciones de
investigacin
Demandas no
frvolas entre
$1000 y $5000 son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin
requieren
informacin o
records de la
empresa
Demandas no
frvolas mayores a
$5000 son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin inician
una investigacin de
alto perfil y en
profundidad de las
prcticas de la
organizacin
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 42-43
Mediante el uso de las Hojas de Trabajo: Impacto de los criterios de la evaluacin, se defini los
rangos de posibles impactos que se pueden presentar en la organizacin.
Se cuenta con suficiente informacin sobre la naturaleza de impactos causados por problemas
comunes y situaciones de emergencia, y utiliz esta informacin como base para el establecimiento
de medidas (alto, medio, bajo) a travs de mltiples reas de impacto.
Pirmide Digital Ca. Ltda. cuenta con un presupuesto el cual incluye un margen del 2% para
cambios inesperados en los costos de operacin y un margen del 5% para cambios inesperados en los
ingresos totales.
Se determin que cualquier prdida de vida o daos permanentes a los empleados en las
instalaciones de la organizacin se considera inaceptable. Estos artculos se incorporaron en los
criterios de evaluacin.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Informacin
Aplicaciones y
Servicios
Otros Activos
Qu sistemas la gente
en su organizacin
necesita para realizar su
trabajo?
Qu informacin la gente en
su organizacin necesita para
realizar su trabajo?
Qu aplicaciones y
servicios la gente en su
organizacin necesita para
realizar su trabajo?
Computadoras
personales
Propuestas
Perifricos
Pagos
SugarCRM
Presupuestos
Real VNC
Acceso a Internet
de
Acceso a Internet
Computadoras
Servidor de
correo
electrnico
Informacin
correos
Informacin
personales
de
clientes
Servidor Web
(Portal de
Gerencia)
Informacin de la
empresa
Informacin
Acceso a Internet
Computadoras
personales
de
cursos gerenciales
Informacin
de
clientes
Presentaciones,
Videos,
Documentos
Gerenciales
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
SugarCRM
Automatizacin
de
fuerza
Acceso a Internet
de
Computadoras
personales
ventas
Campaas
de
marketing
Atencin
al
cliente
Presentacin
de
informes
Real VNC
Acceso y control a
Acceso a Internet
servidores
Computadoras
personales
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 46-47
Gente
Gente
Qu personas tienen una
habilidad o conocimiento
especial que es vital para su
organizacin y puede ser
muy difcil de reemplazar?
Habilidades y
Conocimiento
Cules son sus
habilidades o
conocimientos?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Sistemas
Relacionados
Qu sistemas utilizan estas
personas?
Activos
Relacionados
Qu otros activos usan
estas personas (Ejemplo:
informacin, servicios o
aplicaciones)
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Conocimiento
del
personal
funcionamiento
Computadora
SugarCRM
de los sistemas
Portal
de la empresa.
Gerencia
Contacto
de
con
clientes
importantes.
Representante
de partners en
el Ecuador.
Elaboracin de
propuestas.
Trainer de la
mayora de los
cursos
que
ofrece
la
empresa.
Negociacin
con clientes.
del
Conocimiento
portafolio
Computadora
personal.
de servicios que
SugarCRM.
ofrece Pirmide
Portal
Digital.
Gerencia
de
Facilidad para
identificar
las
necesidades
especificas del
cliente
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
proponer
soluciones
travs
de
los
distintos
servicios
que
ofrece
la
empresa.
Elaboracin,
presentacin y
discusin
de
propuestas.
Negociacin
con los clientes.
Coordinacin
del equipo de
consultores
en
los trabajos de
campo.
Coordinacin y
direccin
del
personal.
Directora
de
proyectos de la
empresa.
Ing. Mario Murillo
Conocimiento
de redes.
Conocimiento
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Computadora
personal
SugarCRM.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
de
bases
de
datos.
Manejo
de
Servidor web
Servidor
de
correo
SugarCRM.
Soporte,
actualizacin y
mantenimiento
de
todos
los
servidores
propios
servidores
alojados
en
Estados Unidos.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 48-49
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
El equipo de trabajo utiliz su conocimiento de los sistemas que Pirmide Digital Ca. Ltda. como
punto de partida para identificar los activos de la empresa.
Al utilizar las Hojas de Trabajo: Identificacin de activos organizacionales, para identificar los
activos, los miembros del equipo observaron la cantidad de informacin que reside en los servidores
de Pirmide Digital. La informacin de sus clientes, que se regula en trminos de privacidad y
seguridad, se puede encontrar en varias formas, incluyendo tanto electrnico como archivos de
papel. Se observ que las computadoras personales son comunes a todos los sistemas y funcionan
como un conducto para toda la informacin electrnica importante.
Fue ms difcil identificar a las personas claves relacionadas con el patrimonio de la empresa, ya que
cada miembro del personal tiene un papel importante en Pirmide Digital sin embargo, se decidi
que slo las personas con habilidades especiales o conocimientos que no podan sustituirse
fcilmente se deben documentar como activos durante la evaluacin.
En el caso de Pirmide Digital se identific que la Eco. Olga Obando por tener conocimiento y
realizar la mayor parte de actividades relacionadas con el cliente, el manejo de relaciones,
elaboracin de propuestas y coordinacin del equipo de consultores es indispensable para las
operaciones del da a da.
De igual manera, tanto Pablo Pez PhD como el Ing. Mario Morillo tambin se identificaron como
personas importantes relacionados con los activos de la empresa y sera muy difcil encontrar y
contratar dos personas que asuman estas responsabilidades sin que afecte o interrumpa las
operaciones de Pirmide Digital.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Si
Algo
No
No se sabe
Los
de
miembros del
capacitacin
personal
para
tienen tareas
personal de
definidas.
TI.
Miembros
el
entiende
siguen
todos
los
riesgos
de
la
buena
no
de
seguridad.
divulgar
Poco
informacin
conocimient
confidencial
o de roles y
y definicin
acciones de
de
seguridad.
contraseas.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Amarillo
Verde
No aplica
Personal no
del personal
prctica
Si
Algo
No
No se sabe
Falta
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Personal
utiliza
una
sola
contrasea
para
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si
Algo
No
No se sabe
acceder
todas
que
No
n formal de
divulgar
de
seguridad.
confidencial a
No
hay
documentaci
otros
Tener
de
servicios
capacidad
mecanismos
suficiente para
utilizar
la
informacin
y tecnologa.
No hay roles
y
tecnologa
de
hardware
software
existe
roles
informacin
No
documentaci
son
responsables
las
aplicaciones
informacin de
la
responsabili
dades
definidas.
Uso de buenas
prcticas
para
definir
contraseas
Entender
seguir
las
polticas
de
seguridad y los
reglamentos
Reconocer
reportar
incidentes
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 52-53
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Estrategia de Seguridad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Las estrategias
comerciales de la
organizacin
incorporan
consideraciones de
seguridad.
Si
Algo
No
No se sabe
Las estrategias y
polticas de
seguridad toman en
cuenta las
estrategias y
objetivos del
negocio de la
organizacin.
Las estrategias de
seguridad, metas y
objetivos son
documentados y se
revisan de forma
rutinaria, se lo
actualiza y se
comunica a todos.
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
La
actual
estrategia de
seguridad de
la
empresa
no
es
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
efectiva.
La estrategia
de seguridad
no
Si
Algo
No
No se sabe
se
encuentra
bien
documentada
y
le
falta
enfoque
empresarial.
No
es
proactiva.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 54-55
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Gestin de la Seguridad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La Gerencia asigna
fondos y recursos
suficientes para
actividades de
informacin de
seguridad.
Si
Algo
No
No se sabe
Los roles y
responsabilidades
de seguridad se
definen para todo el
personal de la
organizacin.
Todo el personal en
todos los niveles de
responsabilidad
pone en prctica sus
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
El equipo y
No
el
fondos
personal
hay
estn
de
suficientes
acuerdo
en
en
que
la
presupuesto
para
de riesgos es
seguridad.
dar un paso
Miembros
en
del personal
direccin
se
correcta que
encuentran
beneficiar a
satisfechos
la
con el nivel
organizacin
de
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Amarillo
Verde
No aplica
el
evaluacin
la
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
seguridad
actual.
No hay roles
definidos
www.piramidedigital.com
El mayor portal de Gerencia en espaol
donde la
informacin reside.
Las prcticas de
contratacin y
terminacin de
personal en la
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin
gestiona los riesgos
de seguridad de la
informacin:
Evala
los
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
riesgos para la
seguridad de la
informacin
Toma medidas
para
mitigar
riesgos
de
seguridad de la
informacin
Gerencia recibe y
acta sobre los
informes de rutina
relacionados con la
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 56-57
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La organizacin
cuenta con un
amplio conjunto de
polticas actuales
que peridicamente
son revisadas y
actualizacin.
Hay un
procedimiento
documentado de
gestin de las
polticas de
seguridad, que
incluye:
Creacin
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Existe
una
No todo el
prctica
personal
establecida
conoce
cualquier
sobre esta
incidente.
prctica.
Si
Algo
No
No se sabe
Rojo
Amarillo
Verde
No aplica
siempre
sigue
esta
prctica.
La prctica
de
(revisiones
seguridad
y
actualizaciones)
no
se
revisa,
no
est
Comunicacin
La organizacin
dispone de un
procedimiento
documentado para
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
La gente no
Administracin
peridicas
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
docuement
ada.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
regulaciones
aplicables, y
requisitos de
seguro.
La organizacin
uniformemente
refuerza sus
polticas de
seguridad.
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 58-59
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Se ha realizado un
anlisis de las
operaciones, las
aplicaciones y los
datos crticos.
Si
Algo
No
No se sabe
La organizacin ha
documentado,
revisado y probado:
Planes
de
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
No existe un
plan
de
recuperacin
naturales
No existe plan
de
negocio y de
continuidad
operacin
en
del negocio.
caso
de
No
hay
plan
un
de
recuperacin
de
recuperacin de
para sistemas
desastres (s)
o redes.
Los planes de
contingencia,
recuperacin de
desastres y de
negocios
consideran la
continuidad fsica y
electrnica y los
Rojo
Naranja
Verde
No aplica
emergencia
continuidad del
Plan
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
ante desastres
emergencia
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
requisitos de
acceso y controles.
Todo el personal:
Esta consciente
de los planes de
Si
Algo
No
No se sabe
recuperacin de
desastres
imprevistos
continuidad del
negocio.
Comprende
es
capaz
realizar
y
de
sus
responsabilidad
es.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 62-63
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Planes de seguridad
de las instalaciones
y procedimientos
para salvaguardar
las instalaciones,
edificios y
cualquier zona
restringida y estn
documentados y
probados.
Hay polticas y
procedimientos
documentados para
la gestin de los
visitantes.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
controlar el acceso
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Existe una
La seguridad
poltica de
fsica se ve
manejo de
afectada
visitantes,
debido a que
pero no es
en ocasiones
propia
se comparten
de
la empresa,
laptops,
sino
conocen
establecida
contraseas
por
de
el
edificio
la
Rojo
Naranja
Verde
No aplica
se
otra
persona y se
donde
se
comparte el
encuentra
espacio en la
las oficinas
oficina.
de
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
la
empresa en
Quito.
Para
el
acceso a la
sala
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Las estaciones de
trabajo y otros
componentes que
permiten acceso a
informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.
Si
Algo
No
No se sabe
servidores
se requiere
de
una
tarjeta
magntica.
Todos
los
equipos de
la
oficina
necesitan
de
clave
una
de
acceso.
Estaciones
de trabajo y
servidores
estn
fsicamente
salvaguard
ados.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 64-65
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 27: Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red
Si alguien del
personal est
encargado de esta
rea:
Existen planes de
seguridad para
salvaguardar el
sistema y las redes.
La informacin
confidencial est
protegida en un
almacenamiento
seguro (por
ejemplo, copias de
seguridad
almacenadas en
otro sitio).
La integridad del
software instalado
es regularmente
verificada.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
realizan
Si
Algo
No
No se sabe
plan
contrasea
documentad
para
todos
cada
seis
Acceso
No todos los
actualizados
No
hay
estn
planes
de
protegidos
control
de
con
hardware y
contraseas
software
Existen
planeados
copias
de
seguridad.
de
estn
sistemas
Si
Algo
No
No se sabe
Se
No
hay
procedimien
da
tos formales
mantenimien
para cambio
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Naranja
Verde
No aplica
sistemas
servidores y
Si
Algo
No
No se sabe
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
seguridad.
meses.
No existe un
cambios de
los usuarios
Se
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Existe un plan
documentado y
comprobado para la
copia de seguridad
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios
de hardware y
software son
planeados,
controlados y
documentados.
Los miembros del
rea de TI siguen
procedimientos
para cambiar y dar
de baja
contraseas,
cuentas y
privilegios.
Solo los servicios
necesarios estn
corriendo en los
sistemas, todos los
servicios que no
son necesarios han
sido eliminados.
Herramientas y
mecanismos para el
sistema de
seguridad y
administracin de
la red que se
utilizan, se revisan
de manera
rutinaria, se
actualizan o
reemplazan.
Si
Algo
No
No se sabe
to
de
hardware y
contraseas
software una
o manejo de
vez
usuarios.
cada
ao.
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 68-69
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si alguien del
personal est
encargado de esta
rea:
Sistema y red de
monitoreo y
herramientas de
auditora son
habitualmente
utilizados por la
organizacin.
Actividades
inusuales se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.
Componentes del
Firewall y otros
componentes de
seguridad son
auditados
peridicamente
para revisar el
cumplimiento de
polticas.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Se
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
realizan
No
se
monitoreos
reporta
del sistema.
actividad
Se monitorea
inusual.
el servidor de
No
seguridad
polticas
regularmente
definidas.
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
hay
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 70-71
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Manejo de la Vulnerabilidad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Hay un conjunto
de procedimientos
documentados
para
manejo de
vulnerabilidades,
para:
Seleccion
ar
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
No
hay
procedimientos
definidos para
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
poder manejar
la
vulnerabilidad
en
la
organizacin.
las
herramientas
de evaluacin
de
vulnerabilidad,
listas
de
control
secuencias de
comandos
Mantener
se al da con la
vulnerabilidad
conocida, tipos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
y mtodos de
ataque
Revisar
las fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas
de
seguridad
comunicacin
Identifica
cin
de
los
componentes
de
infraestructura
a ser evaluado
Programa
r evaluaciones
de
vulnerabilidad
Interpreta
r y responder a
los resultados
Mantener
un
almacenamient
o seguro y la
disposicin de
datos
vulnerables
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se siguen
procedimientos de
gestin de
vulnerabilidades
los que son
peridicamente
revisados y
actualizados.
Evaluaciones de
tecnologa
vulnerable se
realizan en forma
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 74-75
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Encriptacin
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Controles
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Se maneja
No se protege
una
informacin el
red
privada
momento
de
virtual.
enviarla
va
apropiados de
seguridad
electrnico
para
mediante
proteger
encriptacin.
informacin
sensible
Nunca se ha
discutido
durante
el
almacenamient
o y durante la
transmisin
(por
Rojo
Naranja
Verde
No aplica
correo
se
utilizan
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
proteger
informacin
mediante
encriptacin.
ejemplo,
el cifrado de
datos,
infraestructura
de
clave
pblica,
tecnologa
red
de
privada
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
virtual).
Se utilizan
protocolos de
cifrado cuando se
maneja sistemas,
routers y firewalls
a distancia.
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 76-77
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Arquitectura del
sistema y diseo
para sistemas
nuevos y
actualizaciones
que incluyen las
siguientes
consideraciones:
Estrategi
as
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Existe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
el
No
se
ha
diagrama de
discutido con
arquitectura
el
de red de la
sobre
empresa
seguridad del
personal
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
diseo y la
arquitectura
de
seguridad,
polticas
procedimientos
Antecede
ntes
de
compromisos
de seguridad.
Resultad
os
de
las
evaluaciones
de riesgos de
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
seguridad.
La organizacin
tiene diagramas
que muestran la
seguridad en toda
la empresa y la
arquitectura de red
que estn
actualizados.
Si
Algo
No
No se sabe
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 78-79
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Manejo de Incidentes
Enunciado
Si alguien del
personal est
encargado de esta
rea:
Existen
procedimientos
documentados
para la
identificacin,
presentacin de
informes, y
procesos para
responder a
incidentes
sospechosos y
violaciones.
Los
procedimientos de
manejo de
incidentes son
peridicamente
probados,
verificados y
actualizados.
Existen polticas y
procedimientos
documentados
para trabajar con
autoridades
policiales.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
No
existen
procedimient
os
para
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
presentar
informes
procesos
para
responder a
incidentes
sospechosos
y
Si
Algo
No
No se sabe
violaciones.
Nunca se ha
considerado
desarrollar
una poltica
Si
Algo
No
No se sabe
para
tratar
con
incidentes
sospechosos
violaciones o
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
autoridades
policiales.
No
se
reportan
incidentes o
violaciones.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 80-81
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se utiliz la Hoja de Trabajo: Prcticas de seguridad para documentar el estado actual y la eficiencia
de las prcticas de seguridad de la organizacin, para esto se discutieron las preguntas presentadas en
las hojas de trabajo hasta llegar a un consenso de hasta que extensin cada prctica de seguridad est
presente en Pirmide Digital. Durante esta evaluacin, se identificaron fortalezas y debilidades
relacionadas a cada prctica de seguridad. La mayora de reas evaluadas fueron asignadas bajo el
estatus rojo o naranja, ninguna rea fue asignada con el estatus verde para prcticas de seguridad.
Se not que algunas prcticas de seguridad se realizaban correctamente en Pirmide Digital, pero la
mayora no se estaban ejecutando correctamente. Las dos prcticas de seguridad que se ejecutan bien
en la organizacin son: proteccin de la informacin confidencial en un almacenamiento seguro y
todas las estaciones de trabajo y otros componentes que permiten acceso a informacin sensible
estn fsicamente salvaguardados para prevenir acceso no autorizado.
Al rea de seguridad, concientizacin y entrenamiento se le asign estatus rojo ya que no existen
roles y responsabilidades de seguridad documentados y verificados, no hay capacitacin de
seguridad peridica para el personal y no se siguen buenas prcticas de seguridad ya que no hay
polticas de seguridad y reglamentos definidos.
Al rea de estrategias de seguridad se le asign estatus rojo ya que la actual estrategia comercial de
la empresa no es efectiva, no est documentada y no es proactiva y no hay una poltica de seguridad
definida para la organizacin.
Al rea de gestin de la seguridad se le asign estatus rojo ya que Gerencia no asigna fondos
suficientes para que miembros del personal se capaciten en seguridad, no hay roles y
responsabilidades definidos de seguridad para el personal, no existen procedimientos documentados
para la autorizacin y supervisin del personal que trabaja con informacin sensible ni para manejar
la contratacin y terminacin del personal, la organizacin no gestiona los riesgos de la seguridad de
la informacin.
Al rea de polticas de seguridad y regulaciones se le asign estatus rojo ya la poltica de manejo de
incidentes no es formal y no se encuentra documentada, no existe un procedimiento documentado
para evaluar y garantizar el cumplimiento de polticas de seguridad, leyes, regulaciones, etc.
Al rea de plan de contingencia y recuperacin de desastres se le asign estatus rojo debido a que
actualmente no existe un plan de recuperacin ante desastres naturales o emergencias, plan de
continuidad del negocio o de recuperacin para sistemas o redes.
Al rea de control de acceso fsico se le asign estatus naranja ya que existe control de acceso al rea
de servidores mediante el uso de una tarjeta magntica, todos los equipos estn protegidos con una
clave de acceso y tambin se encuentran fsicamente salvaguardados sin embargo, la seguridad fsica
se ve afectada debido a que en ocasiones se comparte computadores o se conocen contraseas de
otras personas, adems no existe una poltica de manejo de visitantes propia de la empresa sino que
se utiliza la poltica que maneja el edificio donde se encuentra la oficina de la empresa en Quito.
Al rea de gestin del sistema y la red se le asign estatus naranja ya que se realizan cambios de
contraseas peridicos para todos los usuarios, el acceso a equipos y sistemas est protegido con
contraseas, la empresa cuenta con copias de seguridad almacenadas en otro lugar y se da
mantenimiento a hardware y software una vez al ao sin embargo, actualmente no existe un plan de
seguridad del sistema y la red documentado, no todos los sistemas estn actualizados, no hay planes
de control de hardware y software ni procedimientos formales para cambio de contraseas o manejo
de usuarios y no se han eliminado los servicios que no se estn utilizando.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se pierde o es destruido?
1.
Portal de Gerencia
(www.elmayorportaldegerencia.com)
2. Aplicaciones
3. Cliente
Notas
La empresa depende del Portal de Gerencia
El personal utiliza distintas aplicaciones
diariamente.
Todo el personal utiliza computadoras
personales para tener acceso a la diferente
documentacin.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 84-85
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
debe cumplir con regulaciones para proteger la seguridad y privacidad para asegurar esta
informacin.
Aplicaciones: Se seleccion a las aplicaciones como activo crtico ya que varias de estas
aplicaciones son utilizadas diariamente por el personal ya sea para el monitoreo continuo del
estado de los distintos servidores (RealVNC) o para hacer seguimiento a proyectos, clientes,
campaas de marketing, etc. (SugarCRM).
Cliente: El equipo de anlisis concluy que las computadoras personales eran un activo comn
para todos los sistemas.
Se registraron todas las opciones para los activos crticos en la Hoja de Trabajo: Seleccin de
Activos Crticos. Posteriormente, se decidi que el Activo Crtico a ser evaluado es el Portal de
Gerencia, desde este punto en adelante todos los resultados presentados corresponden a dicho activo
critico.
Justificacin
Descripcin del
de la Seleccin Sistema
Requerimientos
de Seguridad
Cul es el
sistema crtico?
Por qu es ese
sistema crtico para
la organizacin?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Requerimiento
de seguridad
ms importante
Cul de los
requerimientos de
seguridad es el ms
importante para este
sistema?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Portal de
Gerencia
El equipo de
trabajo defini
que el personal
es 80%
dependiente
del Portal de
Gerencia ya
que ah se
encuentra
almacenada
toda la
informacin
que se utiliza
para los
distintos
cursos que se
dictan,
redactar
propuestas y la
universidad
virtual.
Todo el personal
tiene acceso al
portal.
El encargado de
realizar
mantenimiento
del mismo es el
departamento de
Sistemas de la
empresa.
Confidencialidad:
Solo personal
autorizado puede
ver informacin
del Portal de
Gerencia, se debe
considerar que
persona tiene
acceso a qu
informacin.
Confidencialidad
Integridad
Disponibilidad
Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin del
Portal de
Gerencia.
Disponibilidad:
El Portal de
Gerencia debe
estar disponible
para que el
personal realice su
trabajo. El acceso
a esta informacin
es requerida
24x7x365.
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 89
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se discutieron cules cualidades del activo crtico Portal de Gerencia eran importantes de proteger,
esta discusin result en la identificacin de los requerimientos de seguridad para este activo crtico.
Seleccionar el requerimiento de seguridad ms importante fue una decisin sin embargo, despus de
considerar y analizar las opciones, se decidi que el requerimiento de seguridad ms importante es la
disponibilidad del Portal de Gerencia, ya que para realizar actividades cotidianas, dictar cursos o
realizar propuestas se necesita acceso continuo e inmediato al Portal.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Accidental
Adentro
`
Premeditado
Portal
Red
Resultado
Actor
Activo
Motivo
Actores de amenazas
Qu actores plantean las mayores amenazas
para el sistema a travs de la red?
Acceso
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable o
nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Muy
5 veces en 2 aos
2 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
0 veces en 2 aos
0 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
Nada
Con qu frecuencia ha
ocurrido esta amenaza en el
pasado?
Nada
Algo
Muy
Bajo
Medio
Alto
Historia
Algo
Motivo
Qu tan fuerte es el motivo
del actor?
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
96-97
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 36: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso a la
red reas de Preocupacin
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 98-99
Tabla 37: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Historia
Porta
l
El sistema se cae
Defectos de hardware
Cdigo malicioso
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Nada
Muy
Resultad
o
Actor
Activo
Defectos de software
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 112
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 38: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del Sistema
reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
considerado una amenazar el
sistema.
Defectos de Hardware
De ejemplos de cmo cualquier
defecto de hardware podra ser
considerado una amenazar el
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo
Cualquier vulnerabilidad puede ser explotada a travs de
malicioso de software podra ser un virus o cualquier otro tipo de cdigo malicioso.
considerado una amenazar el
sistema.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 115
Tabla 39: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Problemas con el
suministro de energa
Problemas de
telecomunicaciones
X
X
X
X
X
X
X
X
X
X
Problemas con
sistemas de terceros
Desastres naturales
Nada
Muy
Resultad
o
Actor
Activo
Porta
l
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
X
X
X
X
X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 120
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 40: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Problemas de telecomunicaciones
De ejemplos de cmo cualquier Sin acceso a internet o conexin a la red interna de
problema de
Pirmide Digital no se puede monitorear el estado del
telecomunicaciones podra ser
servidor web.
considerado una amenazar el
sistema.
Desastres naturales
De ejemplos de algn desastre
natural podra ser considerado
una amenazar el sistema.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 122
Tabla 41: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Historia
Personas clave
permiso temporal
X
X
X
X
Personas clave
que renuncian
X
X
X
X
Nada
Muy
Resultad
o
Actor
Activo
Porta
l
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 134
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 42: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 136
Se construy un perfil de riesgo para el activo critico Portal de Gerencia, registrando el perfil en la
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia, las amenazas
correspondientes a los Actores Humanos con acceso a la red y fsicos no se deben minimizar o
despreciar as no se haya detectado mayor amenaza por los actores con acceso a la red en los ltimos
dos aos, se lleg a esta conclusin basado en la experiencia del equipo y los problemas
relacionados con la red y la seguridad fsica.
La mayora de las amenazas de la categora de Problemas del Sistema afectara por lo general slo la
disponibilidad de la informacin almacenada en el Portal de Gerencia, la excepcin es el cdigo
malicioso, ya que no se puede conocer el resultado de esta amenaza. Las amenazas de la otra
categora de Otros Problemas tambin se cree que afecta slo a la disponibilidad del Portal de
Gerencia.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se identificaron los tipos de personas que pueden ser consideradas actores amenaza, se document
distintos tipos de actores potenciales, incluyendo hackers, personal descontento y personal de
Pirmide Digital que de manera accidental o premeditado puedan poner en riesgo al activo, ya que la
empresa no cuenta con un plan para manejar el acceso a la informacin o violaciones de seguridad
confidencial, el equipo estaba preocupado por la amenaza potencial planteada por cualquier tcnico
que tenga acceso fsico a los equipos que deliberada o accidentalmente pueda acceder a informacin
confidencial.
Con la excepcin de algn miembro del personal descontento, se determin que la amenaza que
representa cualquier persona que trabaja para la organizacin es baja; los motivos de personas del
exterior para acceder al Portal de Gerencia fueron difciles de estimar, pero se llego a la conclusin
que debido a que la empresa no es muy grande es un objetivo menos atractivo a hackers o espas. Se
decidi que los motivos para personas del exterior que pueden amenazar al sistema es bajo.
La amenaza que presenta un defecto de software, hardware, si el sistema se cae o cdigo malicioso
ha generado algunos episodios en los ltimos dos aos causando modificacin, perdida e
interrupcin en el activo.
El riesgo de que un problema con el suministro de energa, de telecomunicaciones, sistemas de
tercero o desastres naturales result difcil de estimar y el equipo no se encontraba muy seguro de
estos datos, especialmente para estimar la frecuencia de modificacin, perdida e interrupcin debido
a problemas con el suministro de energa y la perdida y interrupcin debido a problemas de
telecomunicaciones ya que result difcil recordar todos los episodios que han sucedido en los
ltimos dos aos.
Otra rea de preocupacin que puede convertirse en una amenaza al sistema es que si algn miembro
del personal que se considera clave en la organizacin pide un permiso temporal o renuncia se
considera como una amenaza al sistema, ya que toma tiempo hacer que otra persona asuma esas
responsabilidades haciendo difcil buscar un reemplazo adecuado, esta conclusin la confirma los
datos recolectados por el equipo de anlisis ya que en dos aos han ocurrido casos en que se ha
perdido, modificado e interrumpido el activo.
3.3
En esta fase, el equipo de trabajo conduce una revisin de alto nivel de la infraestructura
computacional, debe enfocarse en la seguridad, y se debe analizar cmo la gente utiliza la
infraestructura computacional para acceder a los activos crticos, y conociendo quin es responsable
de configurar y dar mantenimiento a dichos activos crticos.
El equipo de trabajo examina hasta qu punto cada parte responsable realiza con seguridad sus
prcticas y procesos de TI.
En esta fase se identifica un proceso:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Sistema de inters
Portal de Gerencia
Sistema de Inters
Sistema de Inters
Puntos de Acceso
Puntos de Acceso Intermedios
Puntos de Acceso Intermedios
Servidores
Redes Internas
Estaciones de trabajo
Otros
Red Interna
Red externa
Otros
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Puntos de Acceso
Acceso al Sistema por
Ubicacin de donde se
Otros Sistemas o
Individuos
almacenan los datos
Componentes
Acceso al Sistema por Ubicacin de donde se Otros
Sistemas
Individuos
almacenan los datos
Componentes
De cul de las siguientes
clases de componentes puede la gente
(por ejemplo, los usuarios, los
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo
Laptops
Dispositivos de
almacenamiento de respaldos
locales
PDAs/Componentes Wireless
Otros
o
a
Se utiliz la Hoja de Trabajo: Rutas de acceso, para revisar cmo la gente accede al activo crtico
Portal de Gerencia y se identificaron clases de componentes clave que eran parte o se relacionaban
con el Portal. Esta actividad incluy examinar puntos de acceso al Portal de Gerencia y se determin
que el personal usualmente utilizaba estaciones de trabajo, laptops, PDAs y estaciones de trabajo
fuera de la oficina para acceder al Portal, se determin que los puntos de acceso intermedio incluan
redes internas y externas y que se contaba con dispositivos de almacenamiento de respaldos locales.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cliente
Responsabilidad
Quin es responsable de mantener y
asegurar cada clase de cada
componente?
Aplicaciones
Activo Crtico
Cul activo critico est
relacionado con cada clase?
Portal
Clase
Cul clase de componente est
relacionado con uno o ms de los activos
crticos?
Servidores
Servidor web
rea de Tecnologa
Red interna
Todos
rea de Tecnologa
Estaciones de trabajo
Administrador
Usuarios
X
X
X
X
rea de Tecnologa
rea de Tecnologa
X
X
X
X
X
rea de Tecnologa
rea de Tecnologa
rea de Tecnologa
Laptops
Administrador
Usuarios
Visitantes
PDAs/Componentes Wireless
Personal
Visitantes
X
X
rea de Tecnologa
rea de Tecnologa
Dispositivos de
Almacenamiento
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Respaldo local
Respaldo off-site
X
X
X
X
rea de Tecnologa
No seguro
Red Externa
Todos
Desconocido
X
X
Individual
Individual
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 144-147
Para poder realizar esta actividad, se asumi un punto de vista de la infraestructura para analizar la
informacin utilizando la Hoja de Trabajo: Evaluacin de la infraestructura, durante este anlisis se
documentaron las clases de componentes y se analiz cul activo crtico estaba relacionado a cada
clase, tambin se determino quin era responsable de mantener y asegurar cada clase de componente.
El personal de Pirmide Digital a travs del rea de Tecnologa da mantenimiento a la mayora de
las clases de componentes, excepto cuando se accede al Portal a travs de estaciones de trabajo fuera
de la oficina.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
3.4
En esta fase, el equipo de trabajo identifica los riesgos s los que los activos crticos de la empresa
estn expuestos y decide qu hacer con ellos, se basan en un anlisis de la informacin recogida, con
esta informacin el equipo de trabajo desarrolla una estrategia de proteccin para la organizacin y
planes de mitigacin para enfrentar los riesgos de los activos crticos.
En esta fase se identifican dos procesos:
Figura 10: Mtodo Octave-S, Fase Tres
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 7
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Afuera
Premeditado
Otro
Accidental
Seguridad
Porta
l
Red
Multas
Premeditado
Productividad
Financiero
Adentro
Reputacin
Accidental
Revelacin
Modificacin
Prdida
Interrupcin
M
M
A
A
B
B
M
M
A
A
A
A
B
B
B
B
A
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
A
A
A
A
B
B
B
B
A
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
B
M
M
A
A
A
M
B
B
M
M
M
M
M
M
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
A
A
A
A
A
A
A
M
M
M
M
A
A
A
A
Resultado
Actor
Activo
Motivo
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Acceso
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable o
nula de una amenaza para el activo? No marque estas ramas.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
118
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 46: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Impacto
Multas
Seguridad
Otro
Defectos de hardware
Productividad
Porta
l
El sistema se cae
Financiero
Revelacin
Modificacin
Prdida
Interrupcin
M
A
A
A
M
M
A
A
A
A
A
A
B
B
B
M
M
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
A
A
M
B
A
A
M
M
A
A
B
B
B
B
M
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
B
A
A
B
B
A
A
A
A
A
A
B
M
M
M
M
M
A
A
Resultado
Actor
Defectos de software
Reputacin
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 120
Tabla 47: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Impacto
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
Seguridad
Otro
Desastres naturales
Multas
Problemas con
sistemas de terceros
Productividad
Problemas de
telecomunicaciones
Financiero
Porta
l
Reputacin
Problemas con el
suministro de energa
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
A
M
M
M
A
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
A
M
M
M
A
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Resultado
Actor
Activo
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 127
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 48: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Productividad
Multas
Seguridad
Otro
Personas clave
que renuncian
Financiero
Porta
l
Revelacin
Modificacin
Prdida
Interrupcin
A
A
A
A
M
M
M
B
M
A
A
A
B
B
B
B
M
A
A
A
Revelacin
Modificacin
Prdida
A
A
A
A
M
M
M
M
A
A
A
A
B
M
M
M
A
A
A
A
Resultado
Actor
Personas clave
permiso temp.
Reputacin
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Interrupcin
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 132
La Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Impacto sirvi para
evaluar los impactos de las amenazas en la organizacin, se revis cada rea de inters y discutieron
distintos tipos de acciones especficas que habra que adoptar para hacer frente a una amenaza,
proporcionando una base para estimar el nivel real de impacto (alto, medio, bajo).
Existi dificultad el momento de estimar el impacto en el caso de reputacin y multas para algunas
de las amenazas, por lo que se decidi consultar el criterio del Gerente General de la empresa para
poder realizar estas estimaciones.
De manera particular se identifica la prdida o interrupcin del activo crtico en cada rea de inters
como lo ms importante a tomar en cuenta en caso de una amenaza.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto
Tiempo
entre
eventos
Frecuencia
analizada
2.
Medio
Diario
Semanal
Mensual
Cuatro veces
al ao
< 4 veces al
ao
365
52
12
<4
Medio
Bajo
Una vez al
ao
< 1 vez al
ao
<1
0.2
0.1
0.05
0.02
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 150151
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Probabilidad
Accidental
Adentro
`
Premeditado
Porta
l
Red
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
B
B
M
M
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
B
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
X
X
X
X
Revelacin
Modificacin
M
M
X
X
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Algo
Muy
Confianza
Valor
Resultado
Motivo
Actor
Activo
Acceso
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Prdida
Interrupcin
M
M
X
X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
119
Tabla 51: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Probabilidad
Revelacin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Algo
Muy
Confianza
Valor
Resultado
Actor
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
X
Centro de Capacitacin Gerencial
Juan Pascoe No.36 y Myriam de Sevilla. Campos Verdes.
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cuendina, Pichincha. Ecuador.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Defectos de software
Porta
l
El sistema se cae
Defectos de hardware
Cdigo malicioso
Modificacin
Prdida
Interrupcin
M
B
B
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
A
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
A
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
B
B
B
X
X
X
X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 121
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 52: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Porta
l
`
Problemas de
telecomunicaciones
Problemas con
sistemas de terceros
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
B
M
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
M
A
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
M
M
A
X
X
X
X
Nada
Algo
Muy
Confianza
Valor
Actor
Problemas con el
suministro de energa
Resultado
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 128
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Tabla 53: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Porta
l
`
Personas clave
que renuncian
Nada
Algo
Muy
Confianza
Valor
Actor
Personas clave
permiso temp.
Resultado
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
B
M
A
A
X
X
X
X
Revelacin
Modificacin
Prdida
B
M
A
A
X
X
X
X
Interrupcin
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 132
Usando la Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Probabilidad
con la ayuda del equipo de trabajo y el Gerente General de la organizacin se evalu la probabilidad
de que ocurra una amenaza y se determin el nivel de confianza de este estimado, los resultados son
los siguientes:
Para cualquier amenaza que ocurra por problemas del sistema como defectos de software, si el
sistema se cae, defectos de hardware o cdigo malicioso el equipo de anlisis se mostr muy
confiado al realizar estimados de probabilidades de ocurrencia de estas amenazas en el futuro,
tomando especial atencin si se trata de un defecto de hardware o si el sistema se cae ya que
consideran hay mayor probabilidad de que ocurra alguna modificacin o interrupcin en el activo.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Para realizar estimados de probabilidades de amenaza causadas por actores con acceso a la red, el
equipo se muestra poco confiado, ya que es difcil predecir el comportamiento de la gente sin
embargo, consideran que la principal amenaza se presentara con alguna persona externa a la
organizacin que lo haga accidentalmente o con intencin de causar dao.
En el caso de amenazas presentadas por problemas con el suministro de energa,
telecomunicaciones, problemas con sistemas de terceros o desastres naturales se considera que la
probabilidad de que suceda en el futuro es media para cada caso. El equipo se mostr poco confiado
al realizar estas estimaciones.
Finalmente, la probabilidad de que ocurra una amenaza si una persona clave en la organizacin tome
un permiso temporal o una persona clave en la organizacin renuncie es alta si el resultado es
prdida o interrupcin; en este caso igualmente el equipo de anlisis se mostr poco confiado en
estas estimaciones.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin
documentada que incluye una evaluacin del conocimiento
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin
informal e indocumentada.
Cambiar
Actual
Actual
Cambiar
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Actual
Actual
Cambiar
Cambiar
Actual
Cambiar
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cambiar
Actual
Actual
Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 156158
Tabla 55: Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con colaboradores y socios.
La organizacin tiene polticas y procedimientos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Contratistas y Subcontratistas
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con contratistas y subcontratistas. La organizacin
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se
trabaja con contratistas y subcontratistas.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras
partes.
La organizacin comunica informalmente los requisitos de
proteccin de informacin a terceras partes.
La organizacin no comunica sus requisitos de proteccin
de informacin a terceras partes.
Actual
Actual
Actual
Cambiar
Cambiar
Cambiar
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar
que organizaciones de terceros, servicios de seguridad
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 159162
Tabla 56: Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica
Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Tarea:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
www.piramidedigital.com
Combinado
Externo
Interno
Combinado
Externo
Interno
X
X
X
X
X
X
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 163170
Responsabilidad
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual
www.piramidedigital.com
El mayor portal de Gerencia en espaol
red.
Establecer y terminar acceso a sistemas e informacin
para ambos individuos y grupos.
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Cambiar
Actual
Actual
Cambiar
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 171176
Tabla 58: Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones
Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Polticas Documentadas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Actual
Actual
Cambiar
Cambiar
Cambiar
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Manejo de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Aplicacin de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 177180
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
La Hoja de Trabajo: Estrategia de Proteccin se ha utilizado para que se discuta las actuales
estrategias de proteccin y vulnerabilidades de cada rea en la organizacin. La estrategia de
proteccin describe los distintos procesos que se utilizan para realizar diferentes prcticas de
seguridad enfocndose en conocer hasta qu grado cada proceso est formalmente definido; en esta
hoja de trabajo el equipo de anlisis define tambin qu cambios se debera hacer a cada rea en la
organizacin para mejorar su estrategia y capacitacin en seguridad.
Se debe tener en cuenta que en una organizacin se puede presentar uno de estos escenarios: la
compaa se desempea muy bien en un rea, pero tienen procesos muy informales, o una
organizacin tiene un amplio margen de mejora a pesar de tener polticas y procedimientos muy
formales48
La estrategia de proteccin actual se describe a continuacin:
Conocimiento de seguridad y entrenamiento: El equipo de anlisis cree que su actual
estrategia de proteccin no est definida apropiadamente para manejar los problemas del da a
da que puedan surgir, adicionalmente el personal no ha recibido un entrenamiento formal sobre
seguridad y tampoco existen mecanismos para rastrear y monitorear que los miembros del
personal se entrenen en temas de seguridad. Mejorar esta rea debe reducir las fuentes
accidentales de amenazas internas.
48
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0, Volume 10: Example Scenario. Pittsburgh, PA,
Carnegie Mellon Software Engineering Institute, 2005, 11
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
www.piramidedigital.com
El mayor portal de Gerencia en espaol
del personal.
Responsable de mitigacin
Apoyo adicional
Gerente General
Gerente de Tecnologa
Gerente General
Gerente de Tecnologa
Gerencia General y los encargados de cada
departamento
Gerente de Tecnologa
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 182183
Razn
www.piramidedigital.com
El mayor portal de Gerencia en espaol
terceros.
Responsable de mitigacin
Apoyo adicional
Gerente de Tecnologa
Gerente de Tecnologa
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 182183
Razn
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Responsable de mitigacin
Apoyo adicional
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia General
Gerencia TI
Gerencia General
Gerencia General
Miembros del rea de TI
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 182183
Razn
Por qu seleccion esta actividad?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
servicios especficos.
Revisar las estaciones de trabajo para
asegurarse que el acceso a las mismas
hibernen automticamente despus de un
cierto tiempo y pidan ingresar la contrasea.
Responsable de mitigacin
Apoyo adicional
Gerencia General
Miembros del rea de TI
Gerencia General
Gerencia de Tecnologa
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 182183
Razn
www.piramidedigital.com
El mayor portal de Gerencia en espaol
procedimientos en el entrenamiento de
seguridad.
Crear procedimientos para hacer cumplir
polticas de seguridad (Envo de correos al
personal recordndoles polticas bsicas de
seguridad)
Definir planes de recuperacin y
contingencia.
Responsable de mitigacin
Apoyo adicional
Gerencia General
Gerencia General
Gerencia General
Gerencia Tecnologa
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 182183
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Gestin para la
mejora de la
Seguridad
Monitorear la
implementacin
Ampliar la actual
evaluacin de
riesgos en la
seguridad de la
informacin
Siguiente evaluacin
de riesgos en la
seguridad de la
informacin
Qu debe hacer la
Gerencia para apoyar la
implementacin de los
resultados de Octave-S?
Qu debe hacer la
informacin para rastrear el
progreso y asegurar que los
resultados de esta
evaluacin se implementen?
Expendera la actual
evaluacin OCTAVE-S para
incluir activos crticos
adicionales? Cules?
Cundo conducir la
organizacin su siguiente
evaluacin OCTAVE-S?
La Gerencia General
de Pirmide Digital
debe:
Asignar fondos
Cada persona a la
que se le asigne
cumplir una
actividad de
mitigacin se debe
hacer responsable de
fijar un cronograma
e implementar cada
plan, adicionalmente
se debe redactar un
reporte a presentarse
al concluir con dicha
actividad.
No se ha identificado
actividades para
expandir la actual
evaluacin de
riesgos.
La siguiente
evaluacin se
realizar en tres
aos.
para implementar
el
plan
de
mitigacin.
Hacer
que
la
seguridad de la
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
informacin
se
convierta en una
prioridad de la
empresa.
Los Gerentes de
las distintas
reas de la
organizacin se
deben asegurar
que el personal
cuente con tiempo
suficiente para
participar en
cualquier
actividad
relacionada con
seguridad que se
les asigne.
Asignar
responsables
encargados de de
implementar
documentar
control de acceso
y
autenticacin
de usuarios.
Asignar
responsables
encargados
de
monitorear
el
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
acceso fsico al
edificio, reas de
trabajo,
hardware.
Cambiar
al
procedimiento
para
cumplir
polticas
de
seguridad.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 196197
CAPITULO CUATRO
EVALUACIN DEL PLAN DE ACCIN Y ESTRATEGIA DE PROTECCIN
En este captulo se presentan el informe preliminar e informe final y ejecutivo dirigido al Gerente
General de Pirmide Digital Ca. Ltda. quien es la persona encargada de monitorear la
implementacin de los resultados obtenidos durante la ejecucin de la evaluacin de seguridad a la
empresa.
4.1
empresa
Quito, septiembre del 2013
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio de la presente, pongo a su disposicin el anlisis utilizando las metodologas COBIT 4.1
para analizar la situacin actual de la empresa y la evaluacin de amenazas crticas, activos y
vulnerabilidades que propone OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability
Evaluation) la que se ha realizado con ayuda de personas que trabajan en la empresa, en la que se ha
asumido la responsabilidad de establecer la estrategia de seguridad de la organizacin analizando la
informacin de la empresa para producir una estrategia de proteccin y planes de mitigacin basados
exclusivamente en los riesgos de seguridad operacional de la organizacin.
El equipo de trabajo y anlisis est conformado por:
Olga Pez
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Mario Morillo
Olga Obando
Guillermo Obando
El informe redactado en base a COBIT 4.1 y OCATVE-S; COBIT4.1 describe la situacin actual de
la organizacin utilizando matrices de madurez para evaluar los siguientes dominios: planeacin y
organizacin, adquisicin e implementacin, entrega y soporte y monitoreo y evaluacin. OCTAVE
S describe los resultados de la evaluacin y se basa en cuatro ejes principales: conocimiento de
seguridad y entrenamiento, manejo colaborativo de la seguridad, monitoreo y auditora de la
seguridad fsica y autenticacin y autorizacin
A ms de presentarle el informe final e informe ejecutivo, me comprometo a aclarar cualquier duda
o a ampliar cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.
4.2
El presente informe muestra los resultados de la evaluacin que establece COBIT 4.1 para realizar
un anlisis de la situacin de la empresa y OCTAVE-S para realizar una evaluacin de riesgos y
seguridad. A continuacin se presentan los resultados obtenidos:
Situacin actual de la empresa:
En base a las Matrices de Madurez aplicadas a los procesos seleccionados de Cobit 4.1 se ha
encontrado lo siguiente:
Dominio Planeacin y Organizacin
Nivel de Madurez: Uno
Es necesario implementar un plan estratgico, en el que se defina un proceso que permita identificar
y realizar actualizaciones del mismo. Se debe implementar una poltica de cmo y cundo se va a
realizar la planeacin estratgica de TI, la que debe ser conocida por todo el equipo de trabajo y se
debe garantizar que sea el plan que se realice sea factible y estructurado. La planeacin estratgica
debe ser discutida en reuniones con la Direccin y se debe contar con tcnicas y estndares comunes
para el desarrollo de la infraestructura tecnolgica. La estrategia general de TI, debe incluir una
definicin de los riesgos a los que est expuesta la organizacin.
Es importante que se difunda la necesidad de la planeacin tecnolgica para que exista un enfoque
en generar soluciones a problemas tcnicos que permitan satisfacer las necesidades del negocio Los
riesgos de TI relacionados al da a da a las diferentes operaciones de TI, deben ser discutidos
siempre en las reuniones con la Gerencia General; adems debe existir un enfoque de evolucin de
riesgos en desarrollo y debe ser implementado en discrecin del gerente de TI. El personal
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin tecnolgica, a
travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un entrenamiento formal.
Debe tambin existir comunicacin de los roles de todos los empleados y sus responsabilidades,
especialmente de los empleados de la unidad de TI, quienes deben tener roles formalizados, los
cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la unidad de
TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento y las
habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para administrar
la organizacin de TI y sus relaciones con los dems departamentos, adems debe haber un deseo
emergente del personal de entender que los riesgos de TI son importantes y necesarios y deben ser
siempre considerados.
Dominio Adquisicin e Implementacin
Nivel de Madurez: Uno
Se debe crear una conciencia organizacional de la necesidad de tener polticas y procedimientos
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados parcialmente
con el proceso general de adquisicin de la organizacin del negocio, los que deben ser utilizados en
proyectos menores y deben ser usados como base para luego implementarlos en cada proyecto que
maneje la empresa. Se debe lograr que el proceso de administracin de cambio no sea un proceso
informal para evitar que el proceso no sea estructurado, rudimentario y propenso a errores, la
empresa debe reconocer la importancia de administrar sus proveedores y las distintas relaciones
entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos de
TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.
Dominio Entrega y Soporte
Nivel de Madurez: Uno
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad de
administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin y
administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las que
se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad
del coordinador es limitada. Se deben definir medidas para medir el desempeo, para poder analizar
la informacin que producen los sistemas relevantes al aspecto de seguridad. La seguridad del
departamento de TI se debe ver primordialmente como una responsabilidad y disciplina del rea de
TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear mecanismos
automticos de advertencia y deteccin, para su evaluacin continua, se debe contar con suficientes
pistas de auditora de problemas y soluciones, los cuales deben ser integrados con la administracin
de datos de configuracin, permitiendo de esta manera, la oportuna resolucin de los problemas
reportados, tambin hay que contar con informacin de los problemas pasados que ha enfrentado la
empresa y posibles problemas futuros, para optimizar la solucin de problemas internos de la
organizacin.
Dominio Monitoreo y Evaluacin
Nivel de Madurez: Cero
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo de
los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al usuario,
a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente de
control interno y asignar de manera formal las tareas para monitorear la efectividad de los controles
internos y evaluarlos en base a la necesidad de los servicios de informacin.
Los resultados encontrados al aplicar OCATVE-S son los siguientes:
Estrategia de proteccin actual:
Conocimiento de seguridad y entrenamiento: La actual estrategia de proteccin no est
definida apropiadamente para manejar los problemas del da a da que puedan surgir,
adicionalmente el personal no ha recibido un entrenamiento formal sobre seguridad y tampoco
existen mecanismos para rastrear y monitorear que los miembros del personal se entrenen en
temas de seguridad. Mejorar esta rea debe reducir las fuentes accidentales de amenazas internas.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Finalmente agradezco la apertura y colaboracin del personal para con este trabajo y estoy
convencida que ha sido un apoyo a su gestin y al desarrollo de su organizacin en corto, mediano y
largo plazo.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
4.3
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio del presente agradezco la apertura que usted me ofreci tanto a las instalaciones de
Pirmide Digital como a la informacin que se necesitaba para la elaboracin del presente proyecto
de investigacin. Entiendo el enorme esfuerzo que usted ha realizado en Pirmide Digital y espero
que el presente proyecto de investigacin sea de su utilidad y beneficio en el futuro.
Para realizar la evaluacin de riesgo y seguridad utilizando el enfoque que propone OCTAVE-S se
utilizaron tres fases: en la fase uno se construy un perfil de amenaza basado en los activos de la
empresa, la fase dos sirvi para identificar vulnerabilidades de la infraestructura y en la fase tres se
desarrollaron planes y estrategias de seguridad.
Despus de realizar la evaluacin utilizando la metodologa de OCTAVE-S, se concluye:
Contar con un programa de entrenamiento sobre conocimiento de seguridad para todo el
personal.
Despus de terminar con la evaluacin, se concluye que la metodologa que propone Octave es la
mejor entre las opciones existentes ya que es flexible, cubre muchos mbitos y permite trabajar
directamente con el personal de la organizacin para asegurarse que los datos recolectados sean
lo ms acertados.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
CAPITULO CINCO
CONCLUSIONES Y RECOMENDACIONES
5.1
Conclusiones
1. El trabajo realizado ha sido un gran proceso de aprendizaje para la empresa Pirmide Digital, su
Gerente General y para m; ya que el haber emprendido en esta experiencia que al principio
pareca un trabajo sencillo, se transform en una metodologa organizada realizada a travs de
una serie de tareas que planeadas, ejecutadas y transformadas en realidad sirven para minimizar
los riesgos dentro de la organizacin.
2. Se seleccion COBIT 4.1 para realizar un anlisis de la situacin actual de la empresa ya que es
un marco de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado
internacionalmente, el que se puede orientar a todos los sectores de una organizacin y sirve para
auditar la gestin de control de los sistemas de informacin.
3. Si bien se evalu COBIT 4.1, ISO 17799 y OCTAVE-S para realizar un anlisis de riesgos en la
organizacin, la utilizacin de OCTAVE-S, viendo hacia atrs, fue la ms acertada decisin
considerando el tamao de la empresa, el nmero del personal, el trabajo que desempean y el
tipo de negocios que desarrollan.
4. El proceso de aprendizaje dada la estructura de OCTAVE-S fue de fcil aplicacin una vez que
se tuvo en claro las diferentes fases de la metodologa, los procesos que se desarrollan en cada
fase y las distintas hojas de trabajo para recolectar informacin de cada proceso.
5. El equipo de Pirmide Digital con el que estuve involucrada durante la evaluacin de OCTAVES recibi de una forma receptiva la informacin y absorbi de manera positiva todo lo planteado
lo que hizo que esta experiencia fuera fcil.
6. La metodologa para realizar una evaluacin de riesgos propuesta por OCTAVE-S es amplia ya
que involucra durante toda la evaluacin a personal de los altos directivos, directivos de reas
operativas y personal en general, lo que conlleva a que la perspectiva para analizar cada proceso
en cada fase sea amplia.
7. En funcin de la experiencia obtenida por parte de la empresa, se ha pensado incorporar a
OCTAVE-S como uno de sus servicios en su cartera de productos que ofrecen a sus clientes
dado que esta metodologa no es conocida ni explotada en el mercado.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
5.2
Recomendaciones
1. Pirmide Digital debe revisar el plan de mitigacin presentado peridicamente ya que a medida
que la tecnologa avanza, tambin crecen las amenazas y riesgos que deben ser considerados para
evitar problemas en el futuro.
2. Realizar una nueva evaluacin de riesgos utilizando OCTAVE-S cada tres aos.
3. Se debe hacer conocer a todo el personal de la organizacin el plan de mitigacin y los siguientes
pasos que se recomiendan en esta evaluacin.
4. Todo el personal debe asistir a cursos sobre seguridad de tal manera que todos tengan
conocimiento y sepan cmo actuar en caso de que se presente una amenaza a cualquier activo
crtico de la empresa.
5. Utilizar el proceso desarrollado en este plan de disertacin para realizar una evaluacin de
riesgos y seguridad para otras actividades y situaciones en otra empresa.
6. Evaluar otros activos crticos.
7. A la facultad, considero es importante se considere en el pensum de la carrera incorporar una
materia en la que se explique qu es la evaluacin de riesgos.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
BIBLIOGRAFA
[1] J.
Lozano,
Seguridad
de
la
Informacin.
Riesgos,
[En
lnea].
Available:
Alberts,
Introduction
to
the
Octave
approach,
[En
lnea].
Available:
Bieber,
The
critical
success
factor
method,
[En
lnea].
Available:
Lozano,
Seguridad
de
la
www.elmayorportaldegerencia.com/
Informacin,
[En
lnea].
Available:
documentos/188-tecnologias-de-informacion-y-
documentos/188-tecnologias-de-informacion-y-
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
en
las
organizaciones,
[En
lnea].
Available:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
No
Anlisis
www.piramidedigital.com
El mayor portal de Gerencia en espaol
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
El plan estratgico est considerado dentro de
los objetivos comerciales de la empresa?
Existe una funcin de la planificacin
estratgica que est integrada con la planificacin
comercial?
El plan estratgico est diseado para ser
implementado a largo plazo?
El plan estratgico es verstil?
El plan estratgico est diseado respetando las
normas que rigen la empresa?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
5
Existe una continua y real mejora de los
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la tcnica de las TIs?
Proceso PO9: Evaluar y administrar riesgos de TI
Dominio: Planeacin y Organizacin
Proceso: PO9 Evaluar y administrar riesgos de TI
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
manera rutinaria?
Las medidas de desempeo reflejan las metas de
TI?
Estn estandarizados los criterios de medicin
de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
cumplidas?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Pregunta
Si
Parcialmente
No
Anlisis
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
control interno?
No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
monitoreo de control interno?
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?
Se han establecidos revisiones peridicas para el
monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
revisin del control interno?
La organizacin estableci niveles de tolerancia
para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
cada vez ms automatizadas en los procesos de
revisin del control interno?
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control
interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que
son integradas y actualizadas?
Est formalizada la participacin de los
conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Prdida de
clientes
Bajo Impacto
Mediano Impacto
Alto Impacto
La reputacin de la
empresa se afecta en
un mnimo porcentaje,
poco o nada de
esfuerzo o gasto es
necesario para
recuperarse si se
presenta la situacin de
prdida de confianza
del cliente.
Menos del ____% de
reduccin de clientes
debido a la prdida de
confianza.
La reputacin de la
empresa se daa, y
esfuerzo y un poco
de gasto
econmico se
requiere para
recuperarse.
La reputacin de la
empresa est
irremediablemente
destruida o daada.
Ms del ____% de
reduccin de clientes
debido a la prdida
de confianza.
Otro:
Bajo Impacto
Costos operativos
Aumento de menos de
____% anual en costos
operativos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Mediano Impacto
Alto Impacto
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Prdida de
ingresos
Menos de ____% de
prdida de ingresos
anuales
De ____ al ___%
de prdida de
ingresos anuales
Prdida financiera
Prdida financiera de
menos de $ ____
Prdida financiera
de $ ____ al $___
Prdida financiera
mayor a $____
Otro:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Bajo Impacto
Mediano Impacto
Alto Impacto
El horario del
personal se
increment entre el
____ al ____% en
___ da(s)
El horario del
personal se
increment en ms
de un ____% en ___
da(s)
Otro:
Otro:
Otro:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Salud
Seguridad
Bajo Impacto
Mediano Impacto
No hay prdida o
amenaza significativa
en la vida del personal
La vida de los
miembros del
personal se ven
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Degradacin mnima,
Discapacidad
inmediatamente
temporal o
tratable de la salud de
recuperable de la
los miembros del
salud de
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad cuestionada Seguridad afectada
Alto Impacto
Prdida de vidas de
miembros del
personal
Deterioro
permanente de la
salud de miembros
del personal
Seguridad violada
Otro:
Bajo Impacto
Mediano Impacto
Multas inferiores a
Multas entre
$_____ son recaudadas $_____ y $_____
son recaudadas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Alto Impacto
Multas mayores a
$_____ son
recaudadas
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Demandas
Demandas no frvolas
de menos de $ ____
son presentadas en
contra de la
organizacin
Investigaciones
No hay preguntas
formuladas por el
gobierno u otras
organizaciones de
investigacin
Demandas no
frvolas entre
$_____ y $_____
son presentadas
en contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin
requieren
informacin o
records de la
empresa
Demandas no
frvolas mayores a
$_____ son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin inician
una investigacin de
alto perfil y en
profundidad de las
prcticas de la
organizacin
Otro:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Informacin
Qu informacin la gente en
su organizacin necesita para
realizar su trabajo?
Aplicaciones y
Servicios
Qu aplicaciones y
servicios la gente en su
organizacin necesita para
realizar su trabajo?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Otros Activos
Qu otros activos estn
relacionados directamente con
estos activos?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Habilidades y
Conocimiento
Cules son sus
habilidades o
conocimientos?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Sistemas
Relacionados
Qu sistemas utilizan estas
personas?
Activos
Relacionados
Qu otros activos usan
estas personas (Ejemplo:
informacin, servicios o
aplicaciones)
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si
Algo
No
No se sabe
informacin de
la
que
son
responsable
No
divulgar
informacin
confidencial
otros
Tener capacidad
suficiente
para
utilizar
la
informacin
tecnologa
de
hardware
software
Uso de buenas
prcticas
para
definir
contraseas
Entender
seguir
las
polticas
de
seguridad y los
reglamentos
Reconocer
reportar
incidentes
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Las estrategias
comerciales de la
organizacin
incorporan
consideraciones de
seguridad.
Si
Algo
No
No se sabe
Las estrategias y
polticas de
seguridad toman en
cuenta las
estrategias y
objetivos del
negocio de la
organizacin.
Las estrategias de
seguridad, metas y
objetivos son
documentados y se
revisan de forma
rutinaria, se lo
actualiza y se
comunica a todos
los involucrados en
la organizacin.
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La Gerencia asigna
fondos y recursos
suficientes para
actividades de
informacin de
seguridad.
Si
Algo
No
No se sabe
Los roles y
responsabilidades
de seguridad se
definen para todo el
personal de la
organizacin.
Si
Algo
No
No se sabe
Todo el personal en
todos los niveles de
responsabilidad
pone en prctica sus
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
www.piramidedigital.com
El mayor portal de Gerencia en espaol
donde la
informacin reside.
Las prcticas de
contratacin y
terminacin de
personal en la
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin
gestiona los riesgos
de seguridad de la
informacin:
Evala
los
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
riesgos para la
seguridad de la
informacin
Toma medidas
para
mitigar
riesgos
de
seguridad de la
informacin
Gerencia recibe y
acta sobre los
informes de rutina
relacionados con la
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La organizacin
cuenta con un
amplio conjunto de
polticas actuales
que peridicamente
son revisadas y
actualizacin.
Hay un
procedimiento
documentado de
gestin de las
polticas de
seguridad, que
incluye:
Creacin
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Administracin
(revisiones
peridicas
actualizaciones)
Comunicacin
La organizacin
dispone de un
procedimiento
documentado para
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
regulaciones
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
aplicables, y
requisitos de
seguro.
La organizacin
uniformemente
refuerza sus
polticas de
seguridad.
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Se ha realizado un
anlisis de las
operaciones, las
aplicaciones y los
datos crticos.
Si
Algo
No
No se sabe
La organizacin ha
documentado,
revisado y probado:
Planes
de
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
continuidad del
negocio y de
operacin
en
caso
de
emergencia
Plan
de
recuperacin de
desastres (s)
Los planes de
contingencia,
recuperacin de
desastres y de
negocios
consideran la
continuidad fsica y
electrnica y los
requisitos de
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
acceso y controles.
Todo el personal:
Esta consciente
de los planes de
Si
Algo
No
No se sabe
recuperacin de
desastres
imprevistos
continuidad del
negocio.
Comprende
es
capaz
realizar
y
de
sus
responsabilidad
es
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si alguien del
personal est
encargado de esta
rea:
Planes de seguridad
de las instalaciones
y procedimientos
para salvaguardar
las instalaciones,
edificios y
cualquier zona
restringida y estn
documentados y
probados.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
la gestin de los
visitantes.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
controlar el acceso
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Las estaciones de
trabajo y otros
componentes que
permiten acceso a
la informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.
Si
Algo
No
No se sabe
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Existen planes de
seguridad para
salvaguardar el
sistema y las redes.
La informacin
confidencial est
protegida en un
almacenamiento
seguro (por
ejemplo, copias de
seguridad
almacenadas en
otro sitio).
Si
Algo
No
No se sabe
La integridad del
software instalado
es regularmente
verificada.
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
recomendaciones
de seguridad.
Existe un plan
documentado y
comprobado para la
copia de seguridad
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios
de hardware y
software son
planeados,
controlados y
documentados.
Los miembros del
rea de TI siguen
procedimientos
para cambiar y dar
de baja
contraseas,
cuentas y
privilegios.
Solo servicios
necesarios estn
corriendo en los
sistemas, todos los
servicios que no
son necesarios han
sido eliminados.
Herramientas y
mecanismos para el
sistema de
seguridad y
administracin de
la red que se
utilizan, se revisan
de manera
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
rutinaria, se
actualizan o
reemplazan.
Si alguien del
personal est
encargado de esta
rea:
Sistema y red de
monitoreo y
herramientas de
auditora son
habitualmente
utilizados por la
organizacin.
Actividades
extraas se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Componentes del
Firewall y otros
componentes de
seguridad son
auditados
peridicamente
para revisar el
cumplimiento de
polticas.
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Hay un conjunto de
procedimientos
documentados para
manejo de
vulnerabilidades,
para:
Selecciona
r
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
las
herramientas de
evaluacin
de
vulnerabilidad,
listas de control
y secuencias de
comandos
Manteners
e al da con la
vulnerabilidad
conocida, tipos y
mtodos
de
ataque
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Revisar las
fuentes
de
informacin
sobre
anuncios
de
vulnerabilidad,
alertas
de
seguridad
comunicaciones
Identificaci
n
de
los
componentes de
infraestructura a
ser evaluado
Programar
evaluaciones de
vulnerabilidad
interpretar
y responder a los
resultados
mantener
un
almacenamiento
seguro
la
disposicin
de
datos vulnerables
Se siguen
procedimientos de
gestin de
vulnerabilidades los
que son
peridicamente
revisados y
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
actualizados.
Evaluaciones de
tecnologa
vulnerable se
realizan en forma
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Controles
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
apropiados de
seguridad
se
utilizan
para
proteger
informacin
sensible
durante
el
almacenamient
o y durante la
transmisin
(por
ejemplo,
el cifrado de
datos,
infraestructura
de
clave
pblica,
tecnologa
de
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
red
privada
virtual).
Se utilizan
protocolos de
cifrado cuando se
maneja sistemas,
routers y firewalls
a distancia.
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Arquitectura del
sistema y diseo
para sistemas
nuevos y revisados
incluyen las
siguientes
consideraciones:
Estrategi
as
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
de
seguridad,
polticas
procedimientos
Antecede
ntes
de
compromisos
de seguridad.
Resultad
os
de
las
evaluaciones
de riesgos de
seguridad.
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
La organizacin
tiene diagramas
que muestran la
seguridad en toda
la empresa y la
arquitectura de red
que estn
actualizados.
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Si alguien del
personal est
encargado de esta
rea:
Existen
procedimientos
documentados
para la
identificacin,
presentacin de
informes, y
procesos para
responder a
incidentes
sospechosos y
violaciones.
Los
procedimientos de
manejo de
incidentes son
peridicamente
probados,
verificados y
actualizados.
Existen polticas y
procedimientos
documentados
para trabajar con
autoridades
policiales.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Se pierde o es destruido?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Notas
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Justificacin
Descripcin del
de la Seleccin Sistema
Requerimientos
de Seguridad
Cul es el
sistema crtico?
Por qu es ese
sistema crtico para
la organizacin?
Confidencialidad:
Solo personal
autorizado puede
ver informacin
Requerimiento de
seguridad ms
importante
Cul de los
requerimientos de
seguridad es el ms
importante para este
sistema?
Confidencialidad
Integridad
Disponibilidad
Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin
Disponibilidad:
debe estar
disponible para
que el personal
realice su trabajo.
Otro:
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red Perfil bsico de riesgo
Actores con acceso a la red Perfil bsico de riesgo
Amenaza
Actores de amenazas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
Accidental
Adentro
`
Premeditado
Porta
l
Red
Resultado
Motivo
Actor
Acceso
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Muy
Nada
Con qu frecuencia ha
ocurrido esta amenaza en el
pasado?
Nada
Algo
Muy
Bajo
Medio
Alto
Historia
Algo
Motivo
Qu tan fuerte es el motivo
del actor?
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red
De ejemplos de cmo personas
que pertenecen a la
organizacin actuando
accidentalmente podran utilizar
el acceso a la red para amenazar
el sistema.
De ejemplos de cmo personas
que pertenecen a la
organizacin que actuando
deliberadamente podran utilizar
el acceso a la red para amenazar
el sistema.
Gente que no pertenece a la organizacin que tiene acceso a la red
De ejemplos de cmo personas
que no pertenecen a la
organizacin que actuando
accidentalmente podran utilizar
el acceso a la red para amenazar
el sistema.
De ejemplos de cmo personas
que no pertenecen a la
organizacin que actuando
deliberadamente podran utilizar
el acceso a la red para amenazar
el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema
Problemas del Sistema Perfil bsico de riesgo
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Historia
`
El sistema se cae
Defectos de hardware
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
Revelacin
Modificacin
Prdida
Interrupcin
veces en aos
veces en aos
veces en aos
veces en aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Muy
Resultad
o
Actor
Activo
Defectos de software
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
aos
aos
aos
aos
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del
Sistema reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
considerado una amenazar el
sistema.
Defectos de Hardware
De ejemplos de cmo cualquier
defecto de hardware podra ser
considerado una amenazar el
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo
malicioso de software podra ser
considerado una amenazar el
sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Porta
l
`
Problemas de
telecomunicaciones
Problemas con
sistemas de terceros
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Muy
Resultad
o
Actor
Activo
Problemas con el
suministro de energa
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Problemas con el suministro de energa
De ejemplos de cmo cualquier
problema con el suministro de
energa podra ser considerado
una amenazar el sistema.
Problemas de telecomunicaciones
De ejemplos de cmo cualquier
problema de
telecomunicaciones podra ser
considerado una amenazar el
sistema.
Desastres naturales
De ejemplos de algn desastre
natural podra ser considerado
una amenazar el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
`
Personas clave
que renuncian
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Muy
Resultad
o
Actor
Activo
Personas clave
permiso temporal
Con qu frecuencia ha
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Personas clave que toman un permiso temporal
De ejemplos de cmo si una
persona clave en la organizacin
toma un permiso temporal
podra ser considerado una
amenazar el sistema.
Sistema de Inters
Sistema de Inters
Puntos de Acceso
Puntos de Acceso Intermedios
Puntos de Acceso Intermedios
Servidores
Red Interna
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Redes Internas
Estaciones de trabajo
Otros
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Red externa
Otros
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Puntos de Acceso
Acceso al Sistema por
Ubicacin de donde se
Otros Sistemas o
Individuos
almacenan los datos
Componentes
Acceso al Sistema por Ubicacin de donde se Otros
Sistemas
Individuos
almacenan los datos
Componentes
De cul de las siguientes
clases de componentes puede la gente
(por ejemplo, los usuarios, los
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo
Laptops
Dispositivos de
almacenamiento de respaldos
locales
PDAs/Componentes Wireless
Otros
Responsabilidad
Quin es responsable de mantener y
asegurar cada clase de cada
componente?
Cliente
Aplicaciones
Portal
Servidores
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Red interna
Estaciones de trabajo
Laptops
PDAs/Componentes Wireless
Dispositivos de
Almacenamiento
Red Externa
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red. Impacto
Actores con acceso a la red Impacto
Accidental
Adentro
`
Premeditado
Red
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Resultado
Motivo
Actor
Acceso
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable o
nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema. Impacto
Problemas del Sistema Impacto
`
El sistema se cae
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Actor
Defectos de software
Resultado
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Defectos de hardware
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto
Amenaza
Impacto
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
Problemas con el
suministro de energa
`
Problemas de
telecomunicaciones
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Resultado
Actor
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Problemas con
sistemas de terceros
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto
`
Personas clave
que renuncian
Otro
Seguridad
Multas
Productividad
Financiero
Resultado
Actor
Personas clave
permiso temp.
Reputacin
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto
Tiempo
entre
eventos
Frecuencia
analizada
Diario
Semanal
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Medio
Mensual
Cuatro veces
al ao
< 4 veces al
ao
www.piramidedigital.com
El mayor portal de Gerencia en espaol
2.
Medio
Bajo
Una vez al
ao
< 1 vez al
ao
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red. Probabilidad
Actores con acceso a la red Probabilidad
Amenaza
Probabilidad
Accidental
Adentro
`
Premeditado
Red
Nada
Algo
Muy
Confianza
Valor
Resultado
Motivo
Actor
Acceso
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema. Probabilidad
Problemas del Sistema Probabilidad
Amenaza
Probabilidad
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
Defectos de software
`
El sistema se cae
Nada
Algo
Muy
Confianza
Valor
Resultado
Actor
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Defectos de hardware
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Otros Problemas Probabilidad
`
Problemas de
telecomunicaciones
Nada
Algo
Muy
Confianza
Valor
Actor
Problemas con el
suministro de energa
Resultado
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Problemas con
sistemas de terceros
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Otros Problemas Probabilidad
`
Personas clave
que renuncian
Nada
Muy
Algo
Confianza
Valor
Actor
Personas clave
permiso temp.
Resultado
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Activo
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin
documentada que incluye una evaluacin del conocimiento
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin
informal e indocumentada.
Actual
Cambiar
Actual
Cambiar
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actual
Cambiar
Actual
Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Actual
Cambiar
Colaboradores y Socios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con colaboradores y socios.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con colaboradores y socios. La organizacin tiene
polticas y procedimientos no documentados para proteger
otros tipos de informacin cuando se trabaja con
colaboradores y socios.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se
trabaja con colaboradores y socios.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Contratistas y Subcontratistas
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con contratistas y subcontratistas. La organizacin
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se
trabaja con contratistas y subcontratistas.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con proveedores de servicios.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con proveedores de servicios. La organizacin
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
proveedores de servicios.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se
trabaja con proveedores de servicios.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras
partes.
La organizacin comunica informalmente los requisitos de
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar
que organizaciones de terceros, servicios de seguridad
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Responsabilidad
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Responsabilidad
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Polticas Documentadas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Actual
Cambiar
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Manejo de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Aplicacin de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Responsable de mitigacin
Apoyo adicional
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Razn
Responsable de mitigacin
Apoyo adicional
Razn
Responsable de mitigacin
Apoyo adicional
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Razn
Por qu seleccion esta actividad?
Responsable de mitigacin
Apoyo adicional
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Razn
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Responsable de mitigacin
Apoyo adicional
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Gestin para la
mejora de la
Seguridad
Monitorear la
implementacin
Ampliar la actual
evaluacin de
riesgos en la
seguridad de la
informacin
Siguiente evaluacin
de riesgos en la
seguridad de la
informacin
Qu debe hacer la
Gerencia para apoyar la
implementacin de los
resultados de Octave-S?
Qu debe hacer la
informacin para rastrear el
progreso y asegurar que los
resultados de esta
evaluacin se implementen?
Expendera la actual
evaluacin OCTAVE-S para
incluir activos crticos
adicionales? Cules?
Cundo conducir la
organizacin su siguiente
evaluacin OCTAVE-S?
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
www.piramidedigital.com
El mayor portal de Gerencia en espaol
AUTOR:
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador