Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR:
Introducción………………………………………………………………………..1
Objetivo…………………………………………………………………………….2
Desarrollo de la actividad…………………………………………………………..3
Conclusión…………………………………………………………………………13
Bibliografía………………………………………………………………………...14
INTRODUCCIÓN
la interdependencia que generan los escenarios en los que se debe practicar, la complejidad de la
de las empresas aún malinterpretan este concepto, y sus gerentes consideran estos conceptos,
como un requisito que debe cumplirse. Para este ejercicio, se practicará en un escenario donde se
información en las entidades que administran los fondos de sus afiliados como recursos.
OBJETIVOS
Analizar los escenarios de los clientes e identifique los riesgos que puedan poner en
Establecer una solución segura que permita establecer la secuencia y el control del flujo
DESARROLLO DE LA ACTIVIDAD
Una cooperativa desea crear una aplicación web para que sus usuarios puedan realizar sus
extractos, etc.). Usted ha sido la persona seleccionada para crear una estrategia que pueda brindar
las técnicas, herramientas, políticas y protocolos que le garanticen la seguridad necesaria para su
buen funcionamiento. Por lo tanto, debe enviar un documento en el que explique qué acciones
ANÁLISIS
Se identifica a una empresa del sector FINANCIERO donde está incursionando en las
para este cliente la implementación de políticas de seguridad en el marco del SGSI ocupándonos
Donde el cliente interno son todos los integrantes (funcionarios) de la cooperativa, quienes tienen
cooperativa. El cliente externo, referimos en lo todo cliente que no labora para la cooperativa,
pero que tiene relación como afiliado o cliente quien consume de los servicios que presta la
cooperativa y que a su vez brinda su información personal para que el cliente interno vele por
estos. La Infraestructura TIC, se determina como todo activo físico o lógico que maneja el
cliente interno y el cliente externo, para el consumo y gestión de la información que posee la
cooperativa. En la siguiente imagen reflejaremos los posibles riesgos por cada uno de los clientes
identificados:
CLIENTE INTERNO
Uso de dispositivos de almacenamiento externos, sin el debido control por parte
del departamento TIC.Acceso a ubicaciones de red que por su rol o perfil de
empleado de la cooperativa, no debería tener.Acceso a módulos o software,
donde por su rol o perfil de empleado en la cooperativa, no debería tener.
CLIENTE EXTERNO
Empleo de formas de acceso a la informacion de la cooperativa no controladas
por esta.Uso inadecuado de las plataformas de informacion, para beneficios no
orientados a la mision de la cooperativa.Acceso a informacion CONFIDENCIAL, y
no autorizada o controlada por parte del departamento TIC de la cooperativa.
INFRAESTRUCTURA TIC
Falta de implementación de controles para el flujo de entrada y de salida de
informacion.Falta de seguimiento y/o auditoría a los componentes fisicos y
logicos que usa la cooperativaPosibles fugas de informacion, para estas ser
tratadas fuera de los lineamientos proyectados por la cooperativa.
Como parte de la planificación, se propone en discriminar cada cliente para verificar que nivel de
riesgo impacta para el negocio de la cooperativa, siendo estos en implementación directa de las
políticas de seguridad con base al SGSI, o si debe ese cliente entrar al modelo de divulgación de
información.
PROPUESTA
Para entonces tratar con los riesgos planteados anteriormente, se propone como solución para la
Infraestructura, ya que este es el núcleo donde el flujo de la información viaja desde sus
contenedores de almacenamiento, viaja por una estructura de red, para llegar a su destino final
(cliente externo o interno), mientras que con los engranajes de cliente interno y externo, deberán
Desarrollo de aplicaciones.
Estas áreas tienen la particularidad en que se puede implementar las políticas de SGSI en forma
como también fusionando ambas áreas para verificación y control de flujo de la información.
red, se debe implementar las siguientes políticas, para los escenarios de uso de los recursos de
de cuidado y estricto manejo, los permisos para navegación a internet, quedan sujetas a la
PDA, etc.) son de responsabilidad directa del colaborador. Quien, al iniciar sus labores en
En cuanto al tráfico por la red del usuario, Infraestructura TIC deberá implementar las siguientes
políticas de control:
usar sistemas de traducción de direcciones (NAT) para direccionar los equipos internos
Configuración de redes virtuales por puerto en el switch para segmentar la red de acuerdo
Configuración de listas de control de acceso creando reglas de tráfico para bloquear toda
conexión hacia los servidores que no sea por parte de Infraestructura TIC.
electrónico.
sistema. En la medida de lo posible, administrar los respaldos vía red o llevar los
respaldos a unidades físicas que estén alejadas del equipo que las origina.
red, se debe implementar las siguientes políticas, para los escenarios de uso de los recursos de
orientarse a la eficacia dentro del manejo para el cliente, como también en su “dureza”
para prevenir grietas que puedan ser aprovechadas a ataques de ciber delincuentes,
de seguridad SSL.
respectivos privilegios o accesos dentro de sus consultas, a fin de evitar que desde
ataques externos o probablemente internos intenten sabotear la(s) base (s) de datos.
contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por intentos erróneos
Considerar el uso de doble autenticación descentralizada con llaves físicas para las
personas que intenten consumir de los recursos tecnológicos desde redes externas.
continua, como también el balanceo de estos, crear una red tolerante a fallas con rutas
por terceros.
2. Testeo: Es el ambiente en el cual se realizan las pruebas para así mejorar o validar que
CONTROLES DE ACCESO:
Todos los sistemas que no sean de libre acceso deberán contar con control de acceso basado
en roles para controlar el acceso de usuarios a tareas que normalmente están restringidas al
asociación de usuarios con los recursos que a los que están autorizados a acceder,
CONTROLES CRIPTOGRAFICOS:
2. Distribuir claves de forma segura a los usuarios que corresponda, incluyendo información
3. Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios
autorizados.
4. Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las
claves.
distintos niveles:
aplicación en producción.
herramientas (cómo metodologías, paradigmas, IDE,s, bibliotecas, patrones) que sean conocidas.
Esto permite conocer tantos sus fortalezas como sus debilidades y vulnerabilidades.
CONCLUSIÓN
cada participante.
BIBLIOGRAFIA