Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SG SI
Ing. Diaz Roncal, Eduardo
Ing. Fernandez Alquizar, Manuel
Ing. Grados Atoche, Juan
Ing. Isla Goicochea, Julio
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin
POLTICA DE SEGURIDAD:
POLITICA
OBJETIVOS
INDICADORES
COTA
Nmero de incidentes de
seguridad de la informacin por
activo de informacin en el ao
1 a 2 - Muy Bien
3 a 4 - Aceptable
5 a 6 - Inaceptable
Verificar el cumplimiento de
controles
implementados
Numero de no conformidades
sobre el nmero de controles
implementados
Seguridad de la Informacin
Activos de Informacion
Proceso de Desarrollo de
Sistemas
Sub-Procesos
Desarrollo y Pase a Produccin
Planificado - Urgente
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Seguridad de la Informacin
TASACIN DE ACTIVOS:
Tasacin
N
Activos de Informacion
Total
1
2
3
4
5
6
7
8
9
10
3
4
4
4
2
3
4
3
4
4
4
3
3
4
2
3
4
3
4
4
4
4
4
4
2
3
4
4
4
4
4
4
4
4
2
3
4
3
4
4
11
12
13
Bitacora de desarrollo
14
15
16
17
Servidor de Archivos
Seguridad de la Informacin
PROPIETARIOS:
N
Activos de Informacion
Propietarios
Analista Programador
Gerencia de Sistemas
Gerencia de Sistemas
Jefe de Produccin
Jefe de Soporte TI
Jefe de Desarrollo
Jefe de Produccin
Jefe de Desarrollo
Gerencia de Sistemas
Jefe de Desarrollo
Jefe de Desarrollo
Jefe de Produccin
Jefe de Desarrollo
Jefe de Desarrollo
Jefe de Soporte
Seguridad de la Informacin
ANLISIS DE RIESGOS:
Amenazas x Vulnerabilidad
Activos
de
Informacion
Amenazas
Probabilidad de Ocurrencia
Vulnerabilidad
Descripcin incorrecta de la
prueba a Realizar
Falta de Capacitacin
Jefe de Desarrollo
Prdida de Personal
Empleados desmotivados
Jefe de Produccin
Prdida de Personal
Empleados desmotivados
Prdida de Personal
Empleados desmotivados
Fallas de Hardware
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Prdida de Personal
Empleados desmotivados
Robo de Informacin
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
Fallas de Software
Fallas de Hardware
Fallas en la red
2
2
Falta de mantenimiento
Gestin de Red inadecuada
Perdida de Datos
Desastre natural
Servidor de Aplicaciones
Coordinador de Pruebas
Oficial de Seguridad
11
Estndares de Programacin
12
Perdida de Acceso
13
Bitacora de desarrollo
Perdida de Acceso
Hacking
Falla de Hardware
Falta de Mantenimiento
Falla de Software
Falla de Red
2
2
14
15
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
Desastre natural
Falta de mantenimiento
Falta de actualizaciones del S0
Gestin de Red inadecuada
Fallas de Hardware
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
17
Robo de Informacin
Perdida de Acceso
16
3
2
4
2
Analista Programador
10
Servidor de Archivos
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
4
2
2
2
4
2
Seguridad de la Informacin
CLCULO DE RIESGOS:
Activos
de
Informacion
Amenazas
Probabilidad
de
Ocurrencia
Vulnerabilidad
Probabilidad de Ocurrencia
que la amenaza explote
la vulnerabilidad
Probabilida de Ocurrencia
de la Amenaza
Impacto
de la
Amenaza
Riesgo
Prioridad
10
Descripcin incorrecta de la
prueba a Realizar
Falta de Capacitacion
Jefe de Desarrollo
Prdida de Personal
Empleados desmotivados
11
Jefe de Produccin
Prdida de Personal
Empleados desmotivados
12
Prdida de Personal
Empleados desmotivados
13
Fallas de Hardware
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Servidor de Aplicaciones
2
4
1
Prdida de Personal
Empleados desmotivados
2
4
12
Robo de Informacin
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
14
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
16
Analista Programador
Coordinador de Pruebas
Oficial de Seguridad
10
Estndares de Programacin
11
Fallas de Software
Fallas de Hardware
2
2
Fallas en la red
Perdida de Datos
2
2
Desastre natural
12
Perdida de Acceso
13
Bitacora de desarrollo
Perdida de Acceso
15
14
Hacking
Falla de Hardware
Falla de Software
Falla de Red
2
2
2
2
17
15
16
17
Servidor de Archivos
2
2
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
Gestin de Red inadecuada
2
2
2
Robo de Informacin
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
2
2
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
2
2
4
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
2
2
Fallas en la red
Desastre natural
Perdida de Acceso
Seguridad de la Informacin
CLCULO DE RIESGOS:
Activos
de
Informacion
Amenazas
Probabilidad
de
Ocurrencia
Vulnerabilidad
Probabilidad de Ocurrencia
que la amenaza explote
la vulnerabilidad
Probabilida de Ocurrencia
de la Amenaza
Impacto
de la
Amenaza
Riesgo
Prioridad
10
Descripcin incorrecta de la
prueba a Realizar
Falta de Capacitacion
Jefe de Desarrollo
Prdida de Personal
Empleados desmotivados
11
Jefe de Produccin
Prdida de Personal
Empleados desmotivados
12
Prdida de Personal
Empleados desmotivados
13
Fallas de Hardware
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Servidor de Aplicaciones
2
4
1
Prdida de Personal
Empleados desmotivados
2
4
12
Robo de Informacin
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
14
Prdida de Personal
Empleados desmotivados
Perdida de Acceso
16
Analista Programador
Coordinador de Pruebas
Oficial de Seguridad
10
Estndares de Programacin
11
Fallas de Software
Fallas de Hardware
2
2
Fallas en la red
Perdida de Datos
2
2
Desastre natural
12
Perdida de Acceso
13
Bitacora de desarrollo
Perdida de Acceso
15
14
Hacking
Falla de Hardware
Falla de Software
Falla de Red
2
2
2
2
17
15
16
17
Servidor de Archivos
2
2
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
Gestin de Red inadecuada
2
2
2
Robo de Informacin
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
2
2
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
2
2
4
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
2
2
Falta de mantenimiento
Falta de actualizaciones del S0
2
2
Fallas en la red
Desastre natural
Perdida de Acceso
Seguridad de la Informacin
CLCULO DE RIESGOS:
Seguridad de la Informacin
ESCALA DE RIESGOS:
Amenazas
Deterioro de la imagen
de la
empresa
Impacto
Economico
del
Riesgo
Tiempo de
recuperacion
de la Empresa
Posibilidad
de
Ocurriencia del Riesgo
Posibilidades de
Interrumpir las
actividades
de la empresa
Total
Descripcin incorrecta de la
prueba a Realizar
Jefe de Desarrollo
Prdida de Personal
16
Jefe de Produccin
Prdida de Personal
14
Prdida de Personal
12
Activos
de
Informacion
Fallas de Hardware
Fallas de Software
Servidor de Aplicaciones
Fallas en la red
Desastre natural
Prdida de Personal
Analista Programador
11
Prdida de Personal
11
Perdida de Acceso
Prdida de Personal
11
Perdida de Acceso
Robo de Informacin
Coordinador de Pruebas
Bitcora de requerimiento de usuario
Oficial de Seguridad
Estndares de Programacin
Fallas de Software
Fallas de Hardware
Servidor de Base de Datos de QA
Fallas en la red
Perdida de Datos
Desastre natural
Perdida de Acceso
Bitacora de desarrollo
Perdida de Acceso
11
18
17
Hacking
Falla de Hardware
Codigo Fuente (paquete de desarrollo)
Falla de Software
Falla de Red
Robo de Informacin
Fallas de Hardware
Fallas de Software
Servidor de Base de Datos de QB
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
Servidor de Archivos
Fallas en la red
Desastre natural
Perdida de Acceso
Seguridad de la Informacin
EVALUACIN DE RIESGOS:
Activos
de
Informacion
Amenazas
Deterioro
de la imagen
de la empresa
Impacto
Economico
del
Riesgo
Tiempo de
recuperacion
de la Empresa
Posibilidad
de
Ocurriencia del Riesgo
Posibilidades de
Interrumpir las
actividades
de la empresa
Total
Nivel de Riesgo
Estrategias de
Tratamiento
del Riesgo
Controles
Descripcin incorrecta de la
prueba a Realizar
Bajo
Aceptar
A.8.2.2
Jefe de Desarrollo
Prdida de Personal
16
Alto
Mitigar
A.8.2.2
Jefe de Produccin
Prdida de Personal
14
Medio
Mitigar
A.8.2.2
Prdida de Personal
12
Bajo
Aceptar
A.8.2.2
Bajo
Aceptar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
11
Medio
Mitigar
A.8.2.2
A.8.2.3
A.8.3.3
A.8.1.3
Prdida de Personal
11
Medio
Mitigar
A.8.2.2
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
Fallas de Hardware
Fallas de Software
5
Servidor de Aplicaciones
Fallas en la red
Desastre natural
Prdida de Personal
Analista Programador
Robo de Informacin
Coordinador de Pruebas
Oficial de Seguridad
Prdida de Personal
11
Medio
Mitigar
A.8.2.2
10
Estndares de Programacin
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
11
Fallas de Hardware
Fallas en la red
Bajo
Aceptar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
12
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
13
Bitacora de desarrollo
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
11
Medio
Mitigar
A.10.7.3
A.8.1.3
18
Alto
Mitigar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
17
Alto
Mitigar
A.9.1.6
A.9.1.1
A.10.4.1
Bajo
Aceptar
A.12.4.3
A.9.1.6
A.9.1.1
A.10.4.1
Fallas de Software
Perdida de Datos
Desastre natural
Hacking
Falla de Hardware
14
Falla de Software
Falla de Red
Robo de Informacin
Fallas de Hardware
15
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
16
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
17
Servidor de Archivos
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Seguridad de la Informacin
DECLARACIN DE APLICABILIDAD:
Objetivos
de
Control
A.8.1 Previo al Empleo
Aplicabilidad
Controles
Si
Justificacion
No
A.8.1.3 Terminos y
Condiciones de la Relacin
A.8.2.2 Concientizacin
Educacin y entrenamiento
en la seguridad de la
Informacin
La finalidad de que los empleados mediante entrenamiento y capacitaciones, tengan claro sus funciones laborales
Dividir las areas de descarga con las de desarrollo para poder evitar un acceso no autorizado
Para poder controlar que ninguna informacin se pueda caer en manos de terceros.
con la Implementacin de los controles de deteccin y prevencin de toma de conciencia con los usuarios
Para que toda la documentacion este disponible solo para personal autorizado
A.10.7.3 Procedimientos de
manipulacin de la
A.10 Procedimientos y
Responsabilidades de Operacin informacin
A.10.7.4 Seguridad de la
documentacin de sistemas
Seguridad de la Informacin
Activos
de
Informacion
Objetivos
de
Control
Controles
Responsable
Entregables
Recursos
Plan de Entrega
A.9.1
A.9.1.1
Control de Calidad
1/2/2016
A.9.1
A.9.1.6
Control de Calidad
Politica de Acceso
20/2/2016
A.9.2
A.9.2.6
Control de Calidad
1/1/2016
A.10.4
A.10.4.1
Control de Calidad
20/1/2016
A.9.1
A.9.1.1
Produccion
1/2/2016
A.9.1
A.9.1.6
Produccion
Politica de Acceso
20/2/2016
A.10.4
A.10.4.1
Produccion
20/1/2016
Jefe de Desarrollo
A.8.2
A.8.2.2
Desarrollo
Politica de capacitacion
15/3/2016
Jefe de Produccion
A.8.2
A.8.2.2
Produccion
Politica de capacitacion
15/4/2016
A.8.1
A.8.1.3
Desarrollo
Acuerdo de confidencialidad
de seguridad de la informacion
1/1/2016
A.8.2
A.8.2.2
Desarrollo
Politica de capacitacion
Jefe de Desarrollo
15/5/2016
A.8.2
A.8.2.3
Desarrollo
Procedimiento de
violacion de la seguridad
15/6/2016
A.8.3
A.8.3.3
Desarrollo
Procedimiento de derechos
de acceso
Jefe de Desarrollo
15/6/2016
A.8.2
A.8.2.2
Control de Calidad
Politica de capacitacion
20/7/2016
A.8.2
A.8.2.2
Sistemas
Politica de capacitacion
20/8/2016
A.8.1
A.8.1.3
Desarrollo
Acuerdo de confidencialidad
de seguridad de la informacion
1/1/2016
A.10.7
A.10.7.3
Desarrollo
Jefe de Desarrollo
1/1/2016
Analista Programador
Coordinador de Pruebas
Oficial de Seguridad