Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Seguridad
Plan de Seguridad
Integrantes:
1 Capitulo I…………………………………………………………..3
1.1 Introducción…………………………………………4
1.2 Objetivos……………………………………………..5
1.3 Planificación del trabajo (Cronograma de actividades)
…………………………………………6
2 Capitulo II…………………………………………………………..7
2.1 Situación Actual………………………………………..8
2.1.1 Descripción de la organización…………………..8
2.1.2 Actividad y entorno…………………………………8
2.1.3 Tamaño y estructura organizacional………….8-9
2.3 Propuesta…………………………………………….,,,,,,,.21
2.3.1Plan de acción, control sugerido……………,,…21-22
3 Capitulo III…………………………………………………………,,23
3.1 Conclusiones……………………………………………,,.24
3.2 Recomendaciones…………………………………….,,.25
4 Capitulo IV………………………………………………………….26
4.1 Glosario…………………………………………………….27
4.2 Bibliografía………………………………………………...28
CAPÍTULO I
Introducción
El presente proyecto es enfocado en poder implementar una mejor seguridad haciendo uso de
la información de la norma ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de
los sistemas que la procesan.
Permitiendo poder identificar los riegos o vulnerabilidades que amenazan a una empresa y
obteniendo al final un diagnóstico del estado actual de la empresa y así poder emitir las
recomendaciones necesarias que deben estar acorde a la normatividad vigente.
Actualmente la empresa hace uso de software de bases de datos y redes ya que son
herramientas estratégicas que brindan ventajas ante la necesidad de crecimiento y
competitividad a los negocios, pero pueden también ocasionar pérdidas si no se administran
de la mejor manera. Por eso que es necesario mantener y realizar evaluaciones periódicas de
estas herramientas y del personal calificado que cumpla con el objetivo de la empresa.
Como sabemos, cada día nos adentramos más y más en un mundo de las compras en línea
con lo cual facilita las compras de accesorios o prendas de ropa. Se trata de enfocar en el
aseguramiento de los controles adecuados sobre la confidencialidad, integridad y
disponibilidad de la información, a través del establecimiento de un sistema de gestión de
seguridad de la información basado en las normas ISO 7001 para que de esta forma se
garantice un tratamiento adecuado de los problemas los riesgos.
Este trabajo permitirá que la empresa pueda mejorar su seguridad y pueda evitar pérdidas de
datos que les podría generar algún perjuicio monetario, con los cual apoyándose en los
lineamientos que exige la norma ISO 207001 poder tenar un mejor control de sus actividades
que pueden poner en riesgo la información de la empresa es vital.
Objetivos
General:
Realizar un plan de seguridad para la empresa Mike Mike Store
Específicos:
El cuido de los datos es un tema tomado en serio por lo que la empresa toma las medidas para
poder proteger de manera eficaz los datos confiados impidiendo el uso malintencionado o no
autorizado de ellos.
Nivel de centralización
Influye en el tamaño de la tienda y a tener un nivel.
Grado de especialización
Esta clave de la estructura organizacional aborda la división del trabajo. Dentro de una
organización, las tareas se distribuyen en distintos niveles.
Formalidad Estructural
Otro punto sobre el que hay que mantener cierta armonía es el grado de formalidad de la
estructura organizacional.
Formación de departamentos
Las diferentes actividades de una organización se dividen en departamentos, cada uno de
ellos con sus propios proyectos. Cuando se construye el modelo organizacional, se estudia la
necesidad de departamentalizar de forma rígida o flexible.
Formación estructural y tamaño
Equipo #1
Tipo Activo
Persona Empleados con permisos limitados
Hardware Caja registradora
Hardware Procesador: i5-8600K
Software Windows 10
Software SQL server
Datos Datos de clientes, Datos de inventario
Equipo #2
Tipo Activo
Persona Administrador del sistema
Hardware PC
Hardware Procesador: i5-8600K
Software Windows 10 Profesional
Software SQL server
Datos Datos de clientes, Datos de inventario, Información Personal, Copia de Seguridad
Software
Nivel Descripción Confidencialidad integridad Disponibilidad
2 3 3 3
-Gestor BD
-Sistema de 1 1 1 1
cámaras
-SO de las 2 3 2 2
PC
Hardware
Nivel Descripción Confidencialidad integridad Disponibilidad
Personas
Nivel Descripción Confidencialidad integridad Disponibilidad
Datos
Es muy importante diferenciar claramente entre estos dos atributos de un riesgo, porque la
existencia del riesgo, en sí, depende de la coexistencia de una amenaza y una vulnerabilidad.
Por un lado, las vulnerabilidades son defectos o debilidades en un activo. Por el otro, las
amenazas pueden desencadenar o explotar una vulnerabilidad para comprometer algún
aspecto del activo.
Así también como las normas ISO 27001 nos ayudan a evitar ciertos problemas
Activo Software
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
Uso no autorizado de
usuario con altos 1 3
Acceso no permisos.
autorizado Usuarios que no toman
al sistema medidas de protección
2 6
y dejan brechas de
Software 3
seguridad.
Falta de protecciones
Intento de contra robo de
1 3
robo de información.
datos.
Ingeniería social. 1 3
Activo Personas
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
Uso no autorizado de
credenciales con altos 1 2
Suplantación permisos.
de identidad
Suplantación de
1 2
Personas 2 identidad.
Falta de conocimiento
Daño de para el uso de equipo. 2 4
datos o
componentes
Ingeniería social. 1 2
Activo Datos
Impact Probabilidad de
Activos Amenazas Vulnerabilidades Riesgo Bruto
o ocurrencia
Métodos de hackeo
para robo de 2 6
Robo de datos
información.
confidenciales
. Falta de protección
1 3
Datos 3 en servidores y bases.
Eliminación, Eliminaciones de
2 6
alteración o información.
perdida de Fallo en servidores o
datos 2 6
daño en estos.
2.2.5 Calculo de riesgo residual
Controles existentes
Métrica para evaluación del control
Nivel Descriptor Descripción
1 Inexistente Si el control no está implementado no mitiga el riesgo 0%
Si el control esta implementado es considerado deficiente si
2 Deficiente
mitiga el riesgo entre 1% y 25%
Si el control esta implementado es considerado regular si
3 Regular
mitiga el riesgo entre 26% y 50%
Si el control esta implementado es considerado bueno si
4 Bueno
mitiga el riesgo entre 51% y 75%
Si el control esta implementado es considerado excelente si
5 Excelente
mitiga el riesgo entre 76% y %
Activo Hardware
Activo Software
Nivel de
Vulnerabilida Riesgo Controles Valoración Riesgo
Amenaza aceptación
d (Bruto) existentes del control (Residual)
del riesgo
Uso no
Seguridad
autorizado de
3 en las 4 2 Aceptable
usuario con
maquinas
altos permisos.
Acceso no
Usuarios que
autorizado
no toman
al sistema Seguridad
medidas de
6 en las 4 4 Aceptable
protección y
maquinas
dejan brechas
de seguridad.
Falta de
Antivirus
protecciones
Intento de 3 en los 3 3 Aceptable
contra robo de
robo de equipos
información.
datos.
Ingeniería
3 Sin control 1 5 Moderado
social.
Activo Personas
Nivel de
Valoració
Vulnerabilida Riesgo Controles Riesgo aceptació
Amenaza n del
d (Bruto) existentes (Residual) n del
control
riesgo
Uso no
Contraseñas
autorizado de
del
Suplantació credenciales 2 4 2 Aceptable
administrado
n de con altos
r
identidad permisos.
Suplantación Carnet del
2 4 2 Aceptable
de identidad. empleado
Daño de Falta de 4 Curso del uso 3 3 Aceptable
datos o conocimiento del equipo
para el uso de
componente equipo.
s Ingeniería
2 Sin control 1 5 Moderado
social.
Activo Datos
Valoració Nivel de
Vulnerabilida Riesgo Controles Riesgo
Amenaza n del aceptación
d (Bruto) existentes (Residual)
control del riesgo
Métodos de
Antivirus
hackeo para
6 en los 3 6 Moderado
robo de
Robo de datos equipos
información.
confidenciales
Falta de
. Antivirus
protección en
3 en los 3 3 Aceptable
servidores y
equipos
bases.
Eliminaciones
Sin
Eliminación, de 6 1 10 Moderado
control
alteración o información.
perdida de Fallo en
Sin
datos servidores o 6 1 10 Moderado
control
daño en estos.
Propuesta
2.3.1 Plan de acción – control sugerido
Esto, nos evita muchos problemas como por ejemplo las inyecciones SQL, entre
otras. Ya que sabemos que es de suma importancia mantener a salvo los datos
de la empresa en general.
Lo que hacemos, es implementar varios métodos que están dentro del PDO,
como por ejemplo quitar los “$”, para las variables de usuario y contraseña, esto
evitará alguna inyección SQL maliciosa a futuro, ya que esos dos parámetros
estarán concebidos de manera puntual.
CAPITULO III
3.1 Conclusiones
-Se creó un plan de seguridad con relación a un sistema demo que se les
presentó. Este contenía el control PDO.
-Se les planteo de forma clara y precisa nuestros objetivos para con ellos.
-De cierta manera, manifestaron un agrado con lo que se les ofreció, pero no se
llegó a un consenso en general.
3.2 Recomendaciones