Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Act6piii Grupo3

    Cargado por

    Kevin Guerra
    14 vistas15 páginas
    El documento presenta un análisis de riesgos de una empresa llamada ENOVA. Identifica riesgos como fugas de información, fallos en el hosting, fallos del sistema del Servicio de Rentas Internas, y usuarios internos malintencionados. Estimó el impacto de varias amenazas y vulnerabilidades y desarrolló controles como mejorar la seguridad del servidor de hosting y realizar copias de seguridad de la información de los empleados.

    Descripción original:

    Título original

    ACT6PIII_GRUPO3

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento presenta un análisis de riesgos de una empresa llamada ENOVA. Identifica riesgos como fugas de información, fallos en el hosting, fallos del sistema del Servicio de Rentas Internas, y usuarios internos malintencionados. Estimó el impacto de varias amenazas y vulnerabilidades y desarrolló controles como mejorar la seguridad del servidor de hosting y realizar copias de seguridad de la información de los empleados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas15 páginas

    Act6piii Grupo3

    Cargado por

    Kevin Guerra
    El documento presenta un análisis de riesgos de una empresa llamada ENOVA. Identifica riesgos como fugas de información, fallos en el hosting, fallos del sistema del Servicio de Rentas Internas, y usuarios internos malintencionados. Estimó el impacto de varias amenazas y vulnerabilidades y desarrolló controles como mejorar la seguridad del servidor de hosting y realizar copias de seguridad de la información de los empleados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 15

    ENOVA

    ACTIVIDAD N°6
    Presentado por:
    Soria Giovanna
    Montalvo Jordan
    Delgado Olcer
    Simbaña Genesis

    JUEVES, 22 DE FEBRERO DE 2023


    ANÁLISIS DE RIESGOS

    Identificación de Riesgos
    Estimación de Riesgos
    Evaluación de Riesgos
    Identificación de Riesgos

    Fuga de Información
    Estos ambientes se encuentran relacionados a equipos físicos, los
    cuales no están exentos de sufrir problemas técnicos.

    Fallo en Hosting
    smarterasp
    El hosting Smarterasp se encuentra en los servidores de Estados Unidos,
    por lo que se encuentra en riesgo de fallo que no estamos al alcance de
    preveneción.
    Identificación de Riesgos

    Fallo del sistema SRI


    El Servicios de Rentas Internas, juega un papel importante en la
    empresa para su correcto funcionamiento.

    Usuarios internos malintencionados


    La detección de un usuario interno malintencionado es aún más difícil. Se
    carecen de control sobre la infraestructura subyacente, genera
    soluciones de seguridad menos eficaces.
    Identificación de Riesgos
    Identificación de activos
    Estimación del Riesgo

    VALOR IMPACTO DESCRIPCIÓN

    1 Bajo El impacto entre la confidencialidad, integridad, y disponibilidad es mínimo

    2 Medio El impacto entre la confidencialidad, integridad, y disponibilidad es medio.

    3 Alto El impacto entre la confidencialidad, integridad, y disponibilidad es alto.


    Estimación del Riesgo
    Fuente de
    Tipo de Amenaza Vulnerabilidad CID IMPACTO
    Amenza

    Robo de Se realizará una compra de servicos


    121 2
    Información para protección de información.

    Fallo del Hosting Se hará una evaluación periodica, al


    221 3
    Smarter proveedor del servicio.

    Eventos virtuales
    No se tiene un control total ante la
    Fallo del SRI 311 1
    amenaza.

    Se pedirá un contrato de
    Usuario Internos confidencialidad a todos los usuario 321 2
    dentro de la empresa
    Evaluación del Riesgo
    Tipo de Amenaza Fuente de Amenaza Vulnerabilidad CID Impacto Probabilidad Nivel de riesgo Plan de tratamiento de riesgo

    Cada trabajador cuenta con una


    Falla de equipos computadora personal, que no cuenta
    112 2 3 4 Reducir
    personales con servicio técnico generando un fallo
    individual.

    Fallas técnicas
    Se trabaja de manera virtual, lo que
    genera que no exista un respaldo de
    Robo de equipos equipos para cada uno de los
    221 1 2 6 Reducir
    personales trabajadores. Las computadoras estan
    en constante movimiento dentro o fuera
    del área de trabajo.

    El servidor se encuentra ubicado en


    Fallo del servidor de EEUU por lo que no se encunetra al
    321 3 2 5 Reducir
    hosting alcance de recuperación o una solucion
    preventiva ante la amenaza,
    Pérdida de servicios
    esenciales

    Si el SRI mantiene un fallo en los


    Fallo del SRI registros, la empresa se ve reflejada en 213 2 2 7 Aceptar
    las amenazas.

    Corrupción de Usuarios con privilegios para modificar


    331 3 2 9 Aceptar
    Datos información en los sistemas.
    Acciones no
    autorizadas

    Trabajo no supervisado y negligencia


    Errores humanos 232 2 3 9 Aceptar
    personal.
    Estrategias de continuidad de
    los servicios de TI

    Medidas de respuesta a Riesgos


    Opciones de Recuperación
    Análisis económico de sitios alternos
    Medidas de respuesta a Riesgos
    Tipo de Fuente de Nivel de Nivel de
    Vulnerabilidad Prioridad Controles seleccionados
    Amenaza Amenaza riesgo Importancia

    Cada trabajador cuenta con una Migrar la infromación que se recuperable de


    Falla de
    computadora personal, que no la computadora que contiene fallos a una
    equipos 4 3 12
    cuenta con servicio técnico base de datos. Responsable: Tiempo de
    personales
    generando un fallo individual. ejecución: 1 semana

    Fallas técnicas Se trabaja de manera virtual, lo que Mantener la información que se encuenta
    genera que no exista un respaldo alamcenada en la nube y recurrir a una
    Robo de
    de equipos para cada uno de los alerta de robo de información para
    equipos 6 3 18
    trabajadores. Las computadoras sustenatar la informacion de nuestros
    personales
    estan en constante movimiento clientes. Responsable: Tiempo de ejecución: 5
    dentro o fuera del área de trabajo. días

    El servidor se encuentra ubicado


    Autenticar una mejora del servidor para
    Fallo del en EEUU por lo que no se
    prevenir una falla en el sistema dentro de la
    servidor de encunetra al alcance de 5 3 15
    empresa. Responsable: Tiempo de ejecución:
    Pérdida de hosting recuperación o una solucion
    5 días
    servicios preventiva ante la amenaza.
    esenciales No existe un control total ante la amenaza
    Si el SRI mantiene un fallo en los
    porque se trata de un servicio pulico del
    Fallo del SRI registros, la empresa se ve 7 3 21
    estado. Responsable: Tiempo de ejecución:
    reflejada en las amenazas.
    s/n

    El área de seguridad de la información hará


    Usuarios con privilegios para
    Corrupción de la depuración de roles y privilegios de los
    modificar información en los 9 3 27
    Datos usuarios de las aplicaciones. Responsable:
    sistemas.
    Tiempo de ejecución: 2 semanas
    Acciones no
    autorizadas Establecer procedimientos para la gestión y
    operación de los sistemas de información y
    Errores Trabajo no supervisado y
    9 3 27 segregar tareas para reducir el riesgo de un
    humanos negligencia personal.
    mal uso deliberado o por negligencia.
    Responsable: Tiempo de ejecución: 1 mes
    Opciones de Recuperación

    Realizado el análisis de impacto, se plantea


    como estrategia tener una nube de respaldo
    con la información que se generan de los
    clientes. En esta nube solo se dará el acceso a
    personal administrativo y gerencia de la
    empresa, de tal manera evitar un robo o fuga
    de información.
    Se plantea utilizar AWS para alojar un
    servidor de respaldo así como un
    balanceador de carga.
    Opciones de Recuperación

    Acceso restringido:
    Se permite el acceso privilegiado con un usuario y contraseña único
    que no puede ser compartido.
    Hosting :
    Los servidores del hosting se mantendrán para ambas nubes para
    tener un respaldo de información correcto.
    Almacenamiento:
    El almacenamiento se hará directamente de una nube a otro bajo un
    proceso de seguridad detallado de la empresa.
    Respaldos:
    Los respaldo se privilegiará porque la información que nos
    proporciona los clientes es de vital importancia para evitar casos de
    suplanto o robo
    Seguridad:
    Los servidores de seguridad deben ser administrados por el
    personal administrativo, con dispositivos espaciales que deben ser
    sustentados económicos.
    Análisis económico de sitios alternos

    De acuerdo a los precios de


    AWS y los servicios utilizados:
    ¡GRACIAS!

    También podría gustarte