Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANEXO A
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN
A.5.1 Orientación de la dirección para la gestión de la seguridad de la información.
A.8 GESTIÓN DE ACTIVOS
A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección apropiadas.
Control
Se deben identificar los activos asociados con información e ins
A.8.1.1 Inventario de activos de información, y se debe elaborar y mantener un inventario d
Control
A.8.1.2 Propiedad de los activos Los activos mantenidos en el inventario deben tener un propiet
Control
Todos los empleados y usuarios de partes externos deben devol
A.8.1.4 Devolución de activos organización que se encuentren a su cargo, al terminar su emp
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información recibe un nivel apropiado de protección de acuerdo con su importancia para la organización.
Control
La información se debe clasificar en función de los requisitos le
A.8.2.1 Clasificación de la información. susceptibilidad a divulgación o a modificación no autorizada.
Control
Se debe desarrollar e implementar un conjunto adecuado de pr
etiquetado de la información, de acuerdo con el esquema de c
A.8.2.2 Etiquetado de la información. adoptado por la organización.
Control
Se deben desarrollar e implementar procedimientos para el ma
A.8.2.3 Manejo de activos. con el esquema de clasificación de información adoptado por l
Verificación Control Organizacional Técnica de Control
adas.
SI X X
X
Metodo de verificación
Examen de Auditoria
Se cumple contractualmente con el uso aceptable de activos. Se validan directorios, Los informes impresos,
grabados, medios de Comunicación, mensajes electrónicos y las transferencias de archivos.
Todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se
encuentren a su cargo, al terminar su empleo, contrato o acuerdo Algunos, se evidencia a traves del formato,
Formato devolución de Activosu Formato acta de entrega - Puesto de Trabajo.
Se evidencia claramente que todos los documentos internos de la organización cuentan con el etiquetado de
acuerdo con en el esquema de clasificación adoptado por la organización (Confidencial, restringido, interno,
Público).
SI
SI
SI
SI
SI
SI
SI
INVENTARIO DE EQUIPOS DE INFRAEST
TIPO DE ACTIVO MARCA MODELO PROGRAMAS SERIAL
PORTÁTIL Dell LATITUDE E 5470 Office 2016
PORTÁTIL Lenovo 80SX0074LM Acrobat Reader
PORTÁTIL Mac macbook air Photoshop
PORTÁTIL Mac macbook air(11-inch,Early 2015) Illustrator
PORTÁTIL Dell inspiron 5559 series Office 365
PORTÁTIL Lenovo E460 (ThinkPad) One driver
SERVIDOR IBM System 3650 M4/AC1 SQL SERVER
SERVIDOR Lenovo System 3250/AC1 SERVICES
SERVIDOR HP Proliant 180 Gen9 XAMPP
SERVIDOR HP Proliant 180 Gen9 EasyPHP
Portable WebServer
SERVIDOR IBM System 3530 M4/AC1
FIREWALL PALO ALTO PA-220 Globalprotect
FIREWALL CISCO CISCO ASA- 5545 CiscoASDM
IMPRESORA HP HP Officejet Pro 8620 FinePrint
IMPRESORA Kyocera Kyocera 420 pro Scaner
IMPRESORA HP HP DESKJET4675 Fusion 360
Smart-TV PANASONIC TC-L55ET60H Youtube
Smart-TV SAMSUNG UN55JU6000K Nextflix
EQUIPOS DE INFRAESTRUCTURA TECNOLÓGICA
PROCESADOR MEMORIA RAM DISCO DURO
Intel Core i7 6600U CPU 2.60GHz 2.81GHz 16 GB 516 SSD
Intel Core i5 6200 U CPU 2.30GHz 2.40GHz 8 GB 1 TB
Intel core i5 1,6 GHz 8 GB 220 SSD
Intel core i5 1,6 GHz 8 GB 220 SSD
Intel Core i7 5600U CPU 2.60GHz 2.81GHz 8 GB 516 GB
Intel Core i5 6200 U CPU 2.30GHz 2.40GHz 16 GB 1 TB
4 CPUs x Intel(R) Xeon(R) CPU E3-26091 v3 @ 1.90GHz 16 GB 2 TB
4 CPUs x Intel(R) Xeon(R) CPU E3-26091 v3 @ 1.90GHz 32 GB 8 TB
8 CPUs x Intel(R) Xeon(R) CPU E5-2620 v4 @ 2.10GHz 64 GB 8 TB
8 CPUs x Intel(R) Xeon(R) CPU E5-2620 v4 @ 2.10GHz 32GB 4 TB
4CPUs x Intel(R) Xeon(R) CPU E3-1241 v3 @ 3.50GHz 64 GB 8 TB
4CPUs x Intel(R) Xeon(R) CPU E3-1241 v3 @ 3.50GHz 16 GB 32 GB
4CPUs x Intel(R) Xeon(R) CPU E3-1241 v3 @ 3.50GHz 32 GB 64 GB
Inter Duo 2.10 ghz 1GB 10 GB
Inter Duo 2.10 ghz 1GB 10 GB
Inter Duo 2.10 ghz 1GB 10 GB
Hexa-Processing Engine 5.0 1GB 2 GB
Hexa-Processing Engine 5.0 1GB 2 GB
SISTEMA OPERATIVO ACTIVIRUS INSTALADO INTEGRACIÓN DE DOMINIO AL LDAP
Windows 10 pro SI NO
Windows 8 SI SI
Os x el capitán 10.11.5 SI NO
Os x el capitán 10.11.6 SI SI
Windows 7 SI NO
Windows 7 SI NO
Windows Server 2008 R2 NO NO
Windows Server 2012 R2 SI SI
VMWare vSphere Hypervisor NO NO
Windows Server 2012 R2 SI NO
VMWare vSphere Hypervisor NO SI
PAN-OS® 9.1 SI NO
Cisco IOS 9 NO SI
HP Officejet Pro Windows/Linux NO NO
HP Officejet Pro Windows/Linux NO SI
HP Officejet Pro Windows/Linux NO NO
Smart-TV Linux 2.0 Panasonic NO NO
Smart-TV Linux Samsung NO NO
CHECKLIST DE SEGURIDAD
LICENCIAMIENTO DE SISTEMA OPERATIVO LICENCIAMIENTO DE PAQUETE DE OFIMATICA
SI SI
SI SI
SI SI
SI SI
SI SI
SI SI
SI NO
NO NO
SI NO
SI NO
NO NO
SI NO
SI NO
NO NO
NO NO
NO NO
NO NO
NO NO
DISCO DURO CIFRADO PUERTOS USB PERMITIDOS MANTENIMIENTO PREVENTIVO
SI SI SI
SI SI SI
SI SI SI
SI SI SI
SI SI SI
SI SI SI
SI NO SI
SI SI NO
NO NO NO
NO NO NO
NO NO NO
SI NO NO
NO NO NO
SI SI SI
NO SI SI
SI SI SI
SI SI SI
SI SI SI
ANALISIS DE VULNERABILIDADES EN LOS ACTIVOS
En base a los datos obtenidos en la guia 7 Mintic capitulo 11 para el análisis de vulnerabilidades, este cuadro determinara un control de
riesgos para cada activo, este control de riesgo va a ser la base para poder mitigar,
implementar y controlar los riesgos más impactantes o categorizados como un alto nivel
de impacto
SERVIDOR-IBM
SERVIDOR-Lenovo
SOFTWARE Contraseñas compartidas y predeterminadas
Llaves compartidas preterminadas
SERVIDOR-IBM Ausencia de Auditoria de sofware
SERVIDOR-Lenovo Ausencia de mantenimiento preventivo
SERVIDOR-HP
SERVIDOR-HP Ausencia de remplazo periodico
HARDWARE
SERVIDOR-IBM Sencibilidad a la radiacion electromactica
Sucectividad a las variaciones de voltaje
Suplantacion de IP
RED Conexiones de red pública sin protección
Habilitacion de puertos inseguros como protocolo ICMP, TCP-22
Ausencia de control de políticas de seguridad
SOFTWARE Llaves compartidas preterminadas
Contraseñas compartidas y predeterminadas
Ausencia de Backup de información
Falta de Mantenimiento preventivo
FIREWALL-PALO ALTO
FIREWALL-CISCO HARDWARE Sencibilidad a la radiacion electromactica
Sucectividad a las variaciones de voltaje
Ataque de denegacion de servicio (DoS)
Arquitectura insegura de la red
RED
Habilitacion de puertos inseguros como protocolo ICMP, TCP-22
Ausencia de Firewall H-A
Acceso no autorizado a la funciones de MFP
Ausencia de Auditoria de sofware
SOFTWARE Acceso no autorizado a las caracteristicas multifuncional
Acceso a otros dispositivos conectados en la misma red
Robo de datos
IMPRESORA-HP
IMPRESORA-Kyocera Mantenimineto preventivo de cartuchos
IMPRESORA-HP Cambio de suplementos de impresion
HARDWARE
Ausencia de remplazo periodico
Documentos sin recoger en la bandeja de salida
Seguridad de la Red
RED
IMPRESORA-HP
aumenta
la la probalidad
vulnerabilidad aumenta de
1 sean explotadas
explotar vulnerabilidades
significativamente la
2 adicionales de explotar
probabilidad
3 vulnerabilidades adcionales.
IMPACTO
PROBABILIDAD
INSIGNIFICANTE(1) MENOR(2) MODERADO(3)
RARO (1) B B M
IMPROBABLE (2) B B M
POSIBLE (3) B M A
PROBABLE (4) M A A
CASI CIERTO (5) A A E
Fuente: Guía de Riegos DAFP, adecuación Autor
B: Zona de riesgo Baja: Asumir el riesgo
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de riego Alta: Reducir el riesgo, Evitar, Compartir o Transferir
E: Zona de riego Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
Analisis de Vulnerabilidades
Vulnerabilidad Severidad Exposición Valor1
Puertos USB
Disco duro unootros
permitidos cifrado
que 1 1 2
permitan ingresar o
extraer información
desde un dispositivo 1 1 2
Falta de
de almacenamiento
Mantenimiento
externo.
preventivo 1 1 2
Mal cuidado físico del
usuario encargado del
portátil 1 1 2
Daño o perdida del
portátil 1 2 2
Ausencia de
licenciamiento o
licenciamiento pirata 3 2 5
Ausencia de antivirus
2 1 3
Ausencia de Backup
de información
Descarga de software 2 1 3
que no estén
Ausencia
permitidosdedentro de 2 2 4
“terminación
la compañía de
sesión” cuando se
abandona la estación 2 1 3
Ausencia
de trabajode Auditoria
de sofware 1 1 2
Habilitación de
servicios innecesarios 2 1 3
Conexiones de red
pública sin protección 1 2 3
Transferencia de
contraseñas en la red 2 1 3
Arquitectura insegura
de la red 2 2 4
Líneas de
comunicación sin
protección 3 2 5
SEVERIDAD
EXPOSICIÓN
IMPACTO
MAYOR(4) CATASTROFICO(5)
A A
A E
E E
E E
E E
Autor
CLASIFICACION
C D I
1
2
3
2
3
1
3
2
1
3
1
2
1
2
3
2
Agente
Valor
Severidad baja: se requiere una
cantidad significativa de recursos
1 para explotar la vulnerabilidad y tiene
poco potencial de pérdida o daño en
Severidad
el activo Media: se quiere una
cantidad significativa de recursos
para exportar la vulnerabilidad y tiene
un potencial significativo de pérdida
2 o daño en el activo; o se requieren
pocos recursos para explotar la
vulnerabilidad y tiene un potencial
moderado de pérdida o daño en el
activo
Severidad Alta: se requieren pocos
recursos para explotar la
3 vulnerabilidad y tiene un potencial
significativo de pérdida o daño en el
activo
exposición Menor: los efectos de la
vulnerabilidad son mínimos. No
1 incrementa la probabilidad de que
vulnerabilidades adicionales sean
exposición
explotadas Moderada: la
vulnerabilidad puede afectar a más de
un elemento o componente del
sistema. La explotación de la
2 vulnerabilidad aumenta la
probabilidad de explotar
exposición Alta: la
vulnerabilidades vulnerabilidad
adicionales
afecta a la mayoría de los
componentes del sistema. La
explitacion de la vulnerabilidad
3 aumenta significativamente la
probabilidad de explotar
vulnerabilidades adicionales.
SENSIBILIDAD DE LOS ACTIVOS
TOTAL VALOR 1
1 2
2 2
3 2
2 2
3 2
1 5
3 3
2 3
1 4
3 3
1 2
2 3
1 3
2 3
3 4
2 5
Analisis de amenazas
Evento de amenaza Capacidad
fechas incorrectas 1
Valor
1
CAPACIDAD
3
MOTIVACIÓN
3
2
1
VALOR 2
RARO
IMPROBALE
POSIBLE
IMPROBALE
POSIBLE
RARO
IMPROBALE
IMPROBALE
RARO
POSIBLE
RARO
IMPROBALE
RARO
IMPROBALE
POSIBLE
IMPROBALE
Motivacion Valor2
1 IMPROBABLE (2)
1 IMPROBABLE (2)
1 POSIBLE (3)
1 IMPROBABLE (2)
2 POSIBLE (3)
2 POSIBLE (3)
1 POSIBLE (3)
1 IMPROBABLE (2)
1 IMPROBABLE (2)
1 POSIBLE (3)
1 IMPROBABLE (2)
1 POSIBLE (3)
1 IMPROBABLE (2)
1 POSIBLE (3)
1 POSIBLE (3)
1 POSIBLE (3)
Descripcion
Capacidad moderada. Se
tiene el conocimiento y
habilidades para realizar el
ataque, pero pocos tiene
suficiente recursos, pero
conocimiento y
habilidades limitadas.
Altamente capaz. Se tienen
los conocimientos, y
recursos necesarios para
realizar
Poca o nula motivación.
No se está inclinando a
actuar.
Nivel moderado de
motivación. Se actuará si
se le pide o provoca
TIPO DE ACTIVO
HARDWARE
PORTÁTIL-Dell
PORTÁTIL-Lenovo
PORTÁTIL-Mac
SOFTWARE
PORTÁTIL-Mac
PORTÁTIL-Dell
PORTÁTIL-Lenovo
RED
SOFTWARE
SERVIDOR-IBM
SERVIDOR-Lenovo
SERVIDOR-HP
SERVIDOR-HP HARDWARE
SERVIDOR-IBM
RED
SOFTWARE
FIREWALL-PALO ALTO
FIREWALL-CISCO HARDWARE
RED
SOFTWARE
SOFTWARE
IMPRESORA-HP
IMPRESORA-Kyocera
IMPRESORA-HP HARDWARE
RED
SOFTWARE
Smart-TV-PANASONIC
Smart-TV-SAMSUNG
HARDWARE
RED
des encontradas
VULNERABILIDAD
Disco duro no cifrado
Puertos USB permitidos u otros que permitan ingresar o extraer información desde un dispositivo de almacenamiento externo.
Falta de Mantenimiento preventivo
Mal cuidado físico del usuario encargado del portátil
Daño o perdida del portátil
Ausencia de licenciamiento o licenciamiento pirata
Ausencia de antivirus
Ausencia de Backup de información
Descarga de software que no estén permitidos dentro de la compañía
Ausencia de “terminación de sesión” cuando se abandona la estación de trabajo
Ausencia de Auditoria de sofware
Habilitación de servicios innecesarios
Conexiones de red pública sin protección
Transferencia de contraseñas en la red
Arquitectura insegura de la red
Líneas de comunicación sin protección
Ausencia de integración al LDAP
Ataque de denegacion de servicio (DoS)
Acceso no autorizados
Contraseñas compartidas y predeterminadas
Llaves compartidas preterminadas
Ausencia de Auditoria de sofware
Ausencia de mantenimiento preventivo
Ausencia de reemplazo periodico
Sencibilidad a la radiacion electromactica
Sucectividad a las variaciones de voltaje
Suplantacion de IP
Conexiones de red pública sin protección
Habilitacion de puertos inseguros como protocolo ICMP, TCP-22
Ausencia de control de políticas de seguridad
Llaves compartidas preterminadas
Contraseñas compartidas y predeterminadas
Ausencia de Backup de información
Falta de Mantenimiento preventivo
Sencibilidad a la radiacion electromactica
Sucectividad a las variaciones de voltaje
Ataque de denegacion de servicio (DoS)
Arquitectura insegura de la red
Habilitacion de puertos inseguros como protocolo ICMP, TCP-22
Ausencia de Firewall H-A
Acceso no autorizado a la funciones de MFP
Ausencia de Auditoria de sofware
Acceso no autorizado a las caracteristicas multifuncional
Acceso a otros dispositivos conectados en la misma red
Robo de datos
Mantenimineto preventivo de cartuchos
Cambio de suplementos de impresion
Ausencia de remplazo periodico
Documentos sin recoger en la bandeja de salida
Seguridad de la Red
Arquitectura insegura de la red
Suplantacion de IP
Acceso no autorizado a las caracteristicas multifuncional
Ausencia de antivirus
Acceso a otros dispositivos conectados en la misma red
Robo de datos
Ausencia de Auditoria de sofware
Ausencia de remplazo periodico
Sucectividad a las variaciones de voltaje
Puertos USB permitidos u otros que permitan ingresar o extraer información desde un dispositivo de almacenamiento externo.
Falta de Mantenimiento preventivo
Seguridad
Suplantacion de IP
Acceso a otros dispositivos conectados en la misma red
SOLUCION
cifrar nuestro disco duro con la herramienta BitLocker que trae nuestro SO
deshabilitar los puertos USB desde nuestro BIOS o con software que decidamos utiizar para tal fin
cronograma de mantenimientos
Capacitar a nuestros empleados para el buen uso de las herramientas dadas.
Tener nuestro activo asugurado
compra de licenciamiento genuino
Compra de antivirus
Realizar planes de Backup por lo menos una vez por semana
No permitir la instalacion de software que aun no se a estudiado su viabilidad.
Configurar las estaciones de trabajo para bloquearce por ausencia.
Implemetar Software
Realizar politicas de Supervisión
de configuracion de ordenadores.
para
Deshabilitar Servicios innecesarios
Mantener solución de seguridad actualizada y el sistema operativo
Implementar mejor seguridad para que no se puedad ver las contraseñas
cumplir con los principios de alta disponibilidad, tolerancia a fallos
Programa de proteccion de dominio
Integración de Active Directory con el objetivo de integrar el equipo a un grupo de dominio
implementar un sistema de detección y prevención de intrusiones (IDS/IPS)
Especificación de la política de autenticación, Restricción de la conexión de red
implemetar Un gestor de contraseñas
implemetar Un gestor de contraseñas
Implemetar Software de Supervisión de ordenadores.
cronograma de mantenimientos
Cronograma de mantenimientos correctivos
Programacion periodicamente de la eelectricidad
certificado de conformidad eléctrica
Mejorar la seguridad en el accesos remoto
Mantener solución de seguridad actualizada y el sistema operativo
implimentacion de politicas de seguridad DENY aplicando los puertos ICMP y TCP-22
Test de seguridad de las redes
implemetar Un gestor de contraseñas
implemetar Un gestor de contraseñas
Realizar planes de Backup por lo menos una vez por semana
cronograma de mantenimientos
recrubir los cuartos con pintura de blindaje
certificado de conformidad eléctrica
implementar un sistema de detección y prevención de intrusiones (IDS/IPS)
cumplir con los principios de alta disponibilidad, tolerancia a fallos
Implementacion con politicas Deny a esos puertos especificos para tener un control
la implementación de firewalls, ya sea utilizando una arquitectura abierta, de menor complejidad, o estructuras cerradas de alta
Proteccion con contraseña para acceso no autorizado
Implemetar Software de Supervisión de ordenadores.
Personal no autorizado
Proteccion con contraseña para acceso no autorizado
Actualiza el software y los sistemas operativos, contraseñas seguras
Realizar mensaulemte mantenimiento de cartuchos
Mensualmente hacer cambios de suplemtos
Programa de remplazo de piezas
Mejorar el acceso de impresion con codigos cuando el usuario imprima
Mejorar la seguridad en la red
cumplir con los principios de alta disponibilidad, tolerancia a fallos
Activar protocolos de verificación SPF
Personal no autorizado
Compra de antivirus
Mejorar el acceso en los disposirovs entre red
Actualiza el software y los sistemas operativos, contraseñas seguras
Implemetar Software de Supervisión de ordenadores.
Programa de remplazo de piesas
certificado de conformidad eléctrica
deshabilitar los puertos USB desde nuestro BIOS o con software que decidamos utiizar para tal fin
Cronograma de mantenimiento preventivo de las piesas
Mejor seguridad y implementación de televisores
activar protocolos de verificación SPF
Proteccion con contraseña para acceso no autorizado