Compañia Zion

ASSETS (What) THREATS

Santiago Buitrago -
David Vasquez
Taxonomy of Business
Assets, including Goals &
Objectives

CONTEXTUAL
ARCHITECTURE
Seguridad y disponibilidad de 1. Competidores deshonestos
la información. 2. Hackers

Business Attributes Profile

CONCEPTUAL
ARCHITECTURE
 CONCEPTUAL Accesibilidad y continudad
ARCHITECTURE de los servicios para usuarios
1. Hackers
de internet e intranet.
2. Usuarios internos
Centricidad en
3. Empleados
confidencialidad de la
inconformes
información por parte de los
servicios.

Inventory of Information
Assets

LOGICAL
ARCHITECTURE
 LOGICAL
ARCHITECTURE
1. Servicios web 2.Juegos 3. 1. Fallas másivas
datos de usuarios 4. clientes 5. 2. Proveedores
Filtrador de trafico deshonestos

Data Dictionary & Data

Inventory

PHYSICAL 1. Codigo del Juego, 2. Datos

ARCHITECTURE de los gamers (Nombre, 1. Hackers
Cedula, datos banccarios, 2. Usuarios maliciosos
telefono y correo ),3. Datos 3. Empleados
recurrentes,codigo de la internos
Pagina, 4. Logs de monitoreo
 ICT Products, including
Data Repositories and
Processors

COMPONENT 1. CD o Blueray 2. Servidor

ARCHITECTURE de bases de datos 3. Servidor
1. Desastres naturales
Web 4. Appliance 5.
2. Hackers
Servidores windows
(accesibilidad)
 MOTIVATION (Why) THREATS PROCESS (How)

Opportunities &Threats Inventory of Operational

Inventory Processes

1. Ser el lider número 1 en el - Proceso de Venta en Linea

1. Competidores
mercado - Proceso de Renta en Linea
2. Riesgos de mercado
2. Competidores en línea - Proceso de Pago
3. Velocidad de
3. Pérdida -Proceso de Compra para el
los avances tecnológicos
de liderazgo y competitividad Stock

Process Mapping
Enablement &
Framework;
Control Objectives;
Architectural Strategies for
Policy Architecture
ICT
organización
9.3 Hacer a los usuarios
responables de salvaguardar
su información de
autenticación
9.4 Prevenir acceso
no autorizado a sistemas y
aplicaciones
11.1 Prevenir acceso
fisico no autorizado
11.2 Prevenir pérdida, daño,
robo de activos e interrupción
-Marco de Procesos como
de las operaciones
Bizagi, Lucidchart, apqc,
organizacionales
Wrike, Heflo, Tallyfly,
1. Empleados internos Tallyfly
12.1 Asegurar
-Arquitectura distribuida
operaciones seguras y
para la tienda web
correctas en las instalaciones
-Arquitectura util
de procesamiento de
para el servicio de llamadas
información
12.5 Asegurar la
integridad de sistemas
operacionales
13.1 Asegurar la
protección de la informaciòn
de redes y sus instalaciones de
procesamiento de información
14.1
Asegurarse que la seguridad
de la información es una parte
integral de sistemas de
Information Flows;
Functional
Domain Policies
Transformations; Service
Oriented Architecture
1. El cliente debe crear una
cuenta antes de realizar un
pedido
2. Las conexiones
bases de datos serán
unicamente por puertos
conocidos (3306, 1403)
3. Los -Requerimiento del usuario
servidores web estarán en -Captura
apache tomcat de la informacion
4. Las contraseñas de -El cliente debe
las bases de datos usarán hash 1. Administradores poder pagar con diferentes
SHA1 inconformes medios de pago
5. Las autenticaciones usarán 2. Hackers -Procesamiento de la
doble capa y contarán con informacion
bloqueo luego de 3 intentos -Los agentes de ventas
6. pueden dar descuentos a los
Lassolicitudes para clientes -Venta Efectiva
conexiones a puertos
desconocidos se presentarán al
área de seguridad
7. Los backups de
bases de datos deben estar
debidamente cifrados y con
contraseña

Applications; Middleware;
Risk Management Rules &
Systems; Security
Procedures
Mechanisms

1. Los riesgos a ser mitigados

son los que sean consederados
altos y criticos -Sistemas operativos de
2. Los riesgos medios servidores
serán mitigados o aceptados -Arquitectura de red
según sean priorizados -Firewall IPS,
3. Los riesgos de 1. Empleados inconformes IDS
puntaje bajo serán aceptados 2. Mala gerencia y -Base de Datos
4. Cada programación -MiddleWare API
instalación de software deberá
tener un reporte de riesgos 1 -MiddleWare TP
semana después de su puesta -MiddleWare ORB
en marcha, y con resportes
programados antes de su
despliegue
Risk Analysis Tools; Risk
Tools and Protocols for
Registers; Risk Monitoring
Process Delivery
and Reporting Tools

1. Las interacciones con el

usuario en la tienda web
deberán ser rastreadas
2. El análisis
de riesgos se deberá hacer con
CVSS v3
3. Los informes de riesgos se 1. Empleados infonformes
presentarán en un formato 2. 1. Bases de datos relacionales 2
estándar publicado en la Accidentes laborales
empresa
4. Mensualmente se
verificarán las puntuaciones
de los riesgos de acuerdo a los
controles que hayan sido
utilizados
 THREATS PEOPLE (Who) THREATS

Organisational Structure &

the Extended Enterprise

-Problemas de conexion
relacion Cliente-Tienda
1. Area de desarrollo
-Proveedores sin stock en
2. Área de TI 1. Inestabilidad económica
bodega
3. Área 2. Mala
-Fallas de servidores en los
de ventas (marketing y puntos distribución de
terceros para el pago
de venta) responsabilidades
-Ataques en el proceso
4. Área de seguridad
de compra, venta o renta que
deseen cambiar la transaccion

Owners, Custodians and

Users;
Service Providers &
Customers
 Dueño: Área de ventas
Custodio:
-Fallos en el software de mapa
Área de TI
de procesos
Usuarios:
-Ataques al software que
1. Administradores
modifiquen o terminen con la
2. Usuario registrado 1. Proveedores deshonestos
confidencialidad del mismo
3. Empresa 2.
-Fallos en
encargada de tarjetas de Usuarios internos
el servidor usado en la
crédito (Entidad bancaria -
arquitectura web
pasarela de pagos)
-Fallos en la red
4. Proveedores
utilizada para las llamadas
ISP 5.
Clientes potenciales (gamers)

Entity Schema;
Trust Models;
Privilege Profiles
 1. Cliente con sus propias
Credenciales (Sin privilegios
en el sistema) - Confizanza
-Suplantacion de usuarios
nula
2. Administrador (Lectura,
-Inconvenientes con los 1. Hackers
escritura y ejecución) -
metodos de pago 2. Clientes de la
Confianza total
-Ataques que plataforma
3. Administrador
pretendan desviar el pago 3. Administradores web
web (Escritura y lectura) -
-Robo de
Confianza media
informacion del usuario
4.
Desarrolladores (Escritura y
lectura) - Confianza media

User Interface to ICT

Systems; Access Control
Systems

-Ataque a servidores
-Fallo del 1. Petición de datos del cliente
MiddleWare 2. Creación de usuarios
1. Hackers
-Daño fisico en la 3.
2.
arquitectura de red Acceso a bases de datos por
Desarrolladores poco
-Evacion del gestor con GUI
confiables
firewall o modificacion no 4. Interfaz de usuarios
autorizada usable
 Identities; Job Descriptions;
Roles; Functions; Actions &
Access Control Lists

-Credenciales de 1. Administradores de bases

administrador descubiertas de datos
2.
-Violacion de cerficados Administrador de seguridad 1. Administradores
(firewall) inconformes
-Modificacion no autorizada 3. 2. Hackers
de bases de datos Administrador web
-Falsificacion de 4.
datos Desarrollador web
 LOCATION (Where) THREATS TIME (When)

Inventory of Buildings, Sites, Time dependencies of

Territories, Jurisdictions, etc Business objectives

1. Oficinas de venta 24 / 7 Para que funcione todo

1. Desastres naturales
2. Bodegas el tiempo, en seguimiento del
2.
3. objetivo principal
Ladrones
Data center -Tiempo de
3. Hackers
4. Internet Promociones

Security Domain Concepts Through-Life Risk

& Framework Management Framework
1. Servicios web - SOAP
communications
2. Servicios de pago 1. Empleados inconformes
24/7 Se necesita monitorear
3. 2.
los riesgos todo el tiempo
Atención presencial Usuarios maliciosos
4.
Almacenamiento - MyBatis

Domain Definitions; Inter-

Start Times, Lifetimes &
domain associations &
Deadlines
interactions

1. Integración de servicios de
pago en página web
2. Pagos por
medio de PayU
3. Uso de logs
para las peticiones a las bases maliciosos de PayU
de datos
3. Conexión de C#
con sql server
Host Platforms, Layout
& Networks
Datacenter, servidores,
routers, switches, Backups en
Terceros. Uso de redes LAN.
Uso de modelo MVC.
Inicio: 07/2020 Fin: 07 2022
1.
Plazos de los descuentos
2. Cuenta Activa
1. Usuarios internos mientras sea Cliente
2. Empleados 3.
Renovaciones de los dominios
web 4.
Vida de las soluciones de
softwarde aplicadas en la
empresa
Timing & Sequencing of
Processes and Sessions
1. Copias de Seguridad a
1. Usuarios de intranet
diario
2. Hackers
2.Backups periodicos,
3.
generando copias de las
Administradores de red
transacciones
Nodes, Addresses and other Time Schedules; Clocks,
Locators Timers & Interrupts

1. Red LAN con direcciones

privadas 10.x.x.x.
2. Servidores de -Sesiones de usuarios
bases de datos en edificio 1. Administradores de red -Plazos para
principal 2. copias de seguridad
3. Compra de servidor Usuarios internos
web 3. Visitantes -Plazos de pagos y
4. Dirección IP pùblica renovaciones
asignada por ente de
asignación
 THREATS Who was in charge of this layer?

The Business View

-Falta de inventario para las

promociones
Gerente General
-Sobrecarga en Servidores
-Competidores

The Architect’s View

-Falla en App's de monitoreo
-Ataques al sistema
Arquitecto de TI
por benefinicios particulares
-

The Designer’s View

-Clientes desertores
-Retrasos a nivel de tareas
administrativas
-Perdida del dominio Web
CIO
-Fallos en el
software
-Finalizacion de licencias y de soporte
en el software

The Builder’s View

-Fallos en las tareas automaticas

programadas
-Daños o ataques Área de tecnología
en los servidores de bases de datos
 The Tradesman’s View

-Suplantacion de usuarios
-Modificacion en tareas Gerente de procesos
automaticas -