Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANÁLISIS DE RIESGOS
Situación Vulnerabilidad Amenaza C I D Impacto
Potencial
Los datacenter sobre lo que Ubicación en la misma Fenómenos X Perdida del servicio por
se soporta la operación están área (sin backup) meteorológicos, falta de acceso
ubicados en el mismo punto catástrofes naturales,
geográfico pérdida de suministro de
energía
El CISO quiere implementar el Ausencia del personal, Incumplimiento en la X X X Puede dar cabida a
CSIRT pero no cuenta con entrenamiento disponibilidad del ataques por falta de
presupuesto asignado para insuficiente en personal personal de respuesta
esto seguridad y falta de calificado
conciencia acerca de
la seguridad
Los oficiales de seguridad de Gestión deficiente de Abuso de derechos X X Compromiso de la
redes pueden acceder a las contraseñas. información confidencial
cualquier equipo, y manejan alojada en los equipos de
los ingresos a todas las cómputo
aplicaciones
Los empleados tienen acceso Uso incorrecto de Hurto de equipo X Filtración o pérdida de
a teletrabajo desde sus software y hardware información por falta de
Divulgación
dispositivos personales y control en el manejo de la
Falta de políticas para
acceso sin límites a redes información por parte de
el uso correcto de los
sociales dentro de la los empleados en equipos
medios de
organización propios
telecomunicaciones y
mensajería.
Conexión deficiente
No hay segregación de redes Arquitectura insegura Espionaje X X Filtración de información
de la red por acceso no autorizado
Acceso no autorizado
Antivirus gratuito (Equipos en Sistema operativo Uso de software falso, X X X Afectación por código
Windows 8) desactualizado copiado o gratuito malicioso.
Antivirus Eventuales problemas
desactualizado o no legales por uso no
eficiente autorizado de software
Sugerencias de mitigación
NTT descubrió que la política de seguridad de la información era conocida por los
miembros de la organización, pero no sabían a qué nivel de granularidad llegar con
las otras políticas.
Lecciones aprendidas
o Es fundamental que toda la organización conozca la política de seguridad y
sus políticas y objetivos conexos, se establecen muchas campañas tendientes
a generar una cultura de apropiación de los empleados de la compañía, se
establecen diferentes mecanismos o técnicas para esta generación de cultura
corporativas, técnicas de juegos, premiaciones, iniciativas que busca la
participación de los colaboradores de la compañía.
Sugerencias de mitigación
Sugerencias de mitigación
o El establecimiento de las políticas de control de cuentas o credenciales, para
las cuales debe haber un seguimiento especial y una medición del control en
su efectividad sobre esta.
Sugerencias de mitigación
Sugerencias de mitigación
Sugerencias de mitigación
Sugerencias de mitigación
Sugerencias de mitigación
o Se debe limitar el acceso a la base de datos Sólo unos pocos usuarios deben
tener acceso a los datos sensibles y a los procedimientos importantes.
o Se debe utilizar los últimos algoritmos disponibles para cifrar la información
ubicada en las bases de datos de los servidores.
Sugerencias de mitigación
Durante una junta de arquitectura mientras se exponía las virtudes de una nueva
herramienta de diseño, se evidenció que en las redes de producción se pueden los
usuarios y contraseñas de los consumidores de la página a través de esa
herramienta.
Lecciones aprendidas
o Las pruebas o demos no se pueden hacer en ambiente productivo.
o Se debe manejar encriptación de contraseñas para que no sean fácilmente
identificables con herramientas de análisis de paquetes.
Sugerencias de mitigación