Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Evaluacion 6 (22072019)

    Cargado por

    aecornejog
    6 vistas4 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas4 páginas

    Evaluacion 6 (22072019)

    Cargado por

    aecornejog

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Evaluación módulo 6

    Cristián Ormeño Vasquez

    Ethical Hacking I

    Instituto IACC

    22 de julio de 2019
    CASO PRACTICOS

    Evaluación contenidos del módulo 6: Gestión de la Seguridad de la


    Información.

    En base al caso analizado, responda a las siguientes preguntas:

    1. Describa tres problemas de gestión de la seguridad de la información que ocurren en este


    caso.

    RESPUESTA: En lo general, los principales problemas que manifiesta esta empresa, obedece a
    la entropía o ausencias de un gobierno tecnología de la información, claramente se observan
    ineficiencias tanto en el consejo de dirección como en la dirección ejecutiva.

    En lo específico, se observan los siguientes problemas; A saber:

    a.Definiciones claras en materia de funciones y responsabilidades, lo anterior se refleja en la


    Dirección ejecutiva, que no fue capaz de definir e implementar un gobierno efectivo, con
    objetivos estratégico claros, en el Comité ejecutivo, el cual claramente falla en proveer un
    canal de comunicación efectivo entre los diferentes actores de comité, en el rol del Oficial de
    seguridad, claramente responsable del desarrollo, ejecución y supervisión de plan de
    seguridad el cual no fue efectivo.

    b. En el ámbito de seguridad y objetivos del negocio; De punto de vista del Gerente de TI, no
    reconoce los objetivos y metas del negocio, lo cual impide que pueda tomar una decisión en
    el reinicio de la plataforma tecnológica o medidas paliativas claras, en termino de impedir
    que la incidencia se prolongara en el tiempo. Adicionalmente a lo anterior, la existencia de
    métricas inútiles o en definitiva la ausencia de ellas, impidió que los operadores del NOC, no
    activarán los procesos de escalamiento con la severidad y rapidez requerida.

    c. En materia de Planificación estratégica; El desconocimiento de una estrategia de seguridad


    ligada a los objetivos del negocio, metas y definición de los activos de información, afecto a
    los involucrados, porque claramente los costos asociados a producción son mayores, que la
    activación de canales de comunicación en horarios no hábiles. A lo anterior, se suman la
    ausencia de planes de acción, los recursos y limitaciones asociados al plan de seguridad de la
    información.
    2. ¿Qué opinión le merece la acción del CEO de la organización?, RESPUESTA: Si bien el CIO en
    parte del gobierno de seguridad de información, su responsabilidad radica en la definición
    estratégica, pero la ausencias y canales de comunicación claros, lo responsabilizan, porque
    estratégicamente no fue capaz de apoyar y difundir un plan de seguridad con un gobierno de
    seguridad, clara con funciones y responsabilidades claras.

    ¿Está de acuerdo con la definición de roles del modelo de gestión de la seguridad de la


    información? RESPUESTA: No estoy de acuerdo. Existen dependencia de funciones y
    responsabilidades que no pueden ser relevadas, ejemplo de ello, es el hecho de espera un día y
    medio para tomar la decisión avalada en un equipo de especialistas, que al final del día, ninguno
    de los involucrados en los roles de la supuesta cada de gerentes, pudo tomar o modificar las
    recomendaciones realizada por el equipo CIRT, dejando toda la responsabilidad al CIO de la
    compañía.

    3. Respecto de DRP de la organización, ¿cumple con los estándares definidos por la gestión de
    riesgos? RESPUESTA: Desde el punto de vista que la compañía mantenía 3 planes de DRP, los
    cuales no eran conocidos, este hecho por sí solo, no cumple con los estándares. Del momento que
    la compañía tuvo pérdidas por 50 millones, claramente estos DRP, no contaban con definiciones
    básicas de gestiones de riesgos cualitativas-cuantitativas, un matriz de riesgo clara considerando
    que el impacto señalado en el caso, afectaba al site principal y contingencia, las ausencias de
    monitoreo de los riesgos altos que afectaban los procesos de negocios, dejen entre ver que los
    estándares no estaban a la altura que indican las normas en planes de DRP en esta materia.

    4. ¿Cuáles eran los controles de seguridad que tenía habilitados la organización y cómo operaron
    en este caso? RESPUESTA: Principiante del caso se deprenden, la aseveración de gerente de TI,
    aseguran que el hecho de mantener una red plana, disminuía el riesgo en la red, los equipos
    experimentados, los monitoreo de solo de red a nivel técnico y plan de DRP. Respecto al
    funcionamiento, no dieron los resultados esperados, ya que el impacto en la plataforma y sistemas
    de producción, fue al 100%, los costos directos de la incidencia fueron de 50 millones, la ausencia
    de difusión de los planes y conocimiento de los equipos técnicos, claramente afectaron el
    funcionamiento de estos controles.

    5. Comente respecto a las métricas utilizadas para este caso, ¿le parecen adecuadas para
    enfrentar este tipo de incidentes? RESPUESTA: El análisis del caso, solo identifica métricas del tipo
    operativas, relacionadas con el monitoreo de la red y del tipo cualitativa, principalmente debido a
    la aseveración del gerente de TI respecto a la red plan y equipo de trabajos con experiencias.
    Respecto a lo anterior, el resultado de la incidencia claramente no justifica dichas métricas,
    métricas, principalmente porque se observa ausencias mínimas de respuesta como lo son;
    ¿usuarios conectado?, ¿qué acción deben realizar?, hora identificado? y desde donde es la
    conexión?, tampoco se identifican los resultados esperados y el motivo que origina la medición.
    Tampoco cumple con las características mínimas de una métrica de seguridad, a saber;
    manejables, significativas, realizables, oportunas y predictivas.
    6. Proponga una solución como control de seguridad que ayudaría a esta organización a evitar un
    incidente similar en el futuro. RESPUESTA: La propuesta se enmarca en la identificación de las
    vulnerabilidades de la red, plataforma de servidores y aplicativos. Esto último, permitirá activar
    métricas de monitoreo del tipo preventivo y correctivos que, para el caso práctico, considerando
    el tipo de ataque, preventivamente se hubiera inhibido el ataque mediante herramientas de
    seguridad perimetral y de manera correctiva, situaciones que hubiera permitidos identificar, de
    acuerdo a escenarios anteriores las implantación y distribución de parches de seguridad en los
    diferentes componentes de la infraestructura tecnológica. Finalmente, el análisis de las diferentes
    métricas en periodicidades adecuadas, sumado a las campañas de concientización, más la
    capacitación de los equipos técnicos del NOC, permitiría realizar gestión del riesgo de una manera
    más y proactiva en futuros ataques.

    También podría gustarte