Sistema de Gestión de La Seguridad de La Información

Seguridad de la Informacin
SG SI
Ing. Diaz Roncal, Eduardo
Ing. Fernandez Alquizar, Manuel
Ing. Grados Atoche, Juan
Ing. Isla Goicochea, Julio
Determinacin del Alcance:

El proceso a implementar es el Desarrollo y Pase a Produccin
Planificado - Urgente que viene hacer el conjunto de tareas
destinadas a implementar un paquete de desarrollo en el
ambiente de produccin a partir de un requerimiento de usuario
previamente planificado.
Mtodo de los Elipses:
POLTICA DE SEGURIDAD:
POLITICA
En la "Empresa Comercio &

CIA S.A." reconocemos la
importancia de identificar y
proteger
los
activos
de
informacin para as evitar la
manipulacin y/o utilizacin no
autorizada
de
toda
la
informacin relevante de la
empresa que pueda generar un
impacto
negativo
en
el
negocio.
Por
eso
nos
comprometemos a desarrollar,
implantar, mantener y mejorar
continuamente el Sistema de
(SGSI)
para
asegurar
la
integridad, confidencialidad y
disponibilidad
de
la
informacin.
OBJETIVOS
INDICADORES
COTA
Identificar y proteger activos de

informacin
Nmero de incidentes de
seguridad de la informacin por
activo de informacin en el ao
1 a 2 - Muy Bien
3 a 4 - Aceptable
5 a 6 - Inaceptable
Verificar el cumplimiento de
controles
implementados
Numero de no conformidades
sobre el nmero de controles
implementados
>= 80% Aceptable
Crear una Cultura de Seguridad

de
la Informacin
Encuestas a usuarios satisfechos

entre total de encuestas
>= 60% Aceptable
IDENTIFICACIN DE LOS ACTIVOS DE INFORMACIN:

N
Activos de Informacion
Proceso de Desarrollo de
Sistemas
Sub-Procesos
Desarrollo y Pase a Produccin
Planificado - Urgente
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Ficha de Casos de Prueba

Jefe de Desarrollo
Jefe de Produccin
Administrador de Base de Datos
Servidor de Aplicaciones
Analista Programador
Coordinador de Pruebas
Bitcora de requerimiento de usuario
Oficial de Seguridad
Estndares de Programacin
Base de Datos de Produccin
Servidor de Base de Datos de QA
Bitacora de pases a produccin
Base de Datos de QA
Base de Datos de QB
Bitacora de desarrollo
Codigo fuente (paquete de desarrollo)
Servidor de Base de Datos de QB
Servidor de Base de Datos de Produccin
Servidor de Archivos
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
TASACIN DE ACTIVOS:
Tasacin
N
Confidenciali Integrida Disponibilid

dad
d
ad
Total
1
2
3
4
5
6
7
8
9
10

Jefe de Desarrollo
Jefe de Produccin
3
4
4
4
2
3
4
3
4
4
4
3
3
4
2
3
4
3
4
4
4
4
4
4
2
3
4
4
4
4
4
4
4
4
2
3
4
3
4
4
11
12
13
14
15
16
17
PROPIETARIOS:
N
1 Ficha de Casos de Prueba

2 Jefe de Desarrollo
3 Jefe de Produccin
4 Administrador de Base de Datos
5 Servidor de Aplicaciones
6 Analista Programador
7 Coordinador de Pruebas
8 Bitcora de requerimiento de usuario
9 Oficial de Seguridad
1
0
1
1
1
2
1
3
1
4
1
5
Propietarios
Gerencia de Sistemas
Jefe de Produccin
Jefe de Soporte TI
Jefe de Desarrollo
Jefe de Produccin
Jefe de Desarrollo
Jefe de Desarrollo
Jefe de Desarrollo
Jefe de Produccin
Jefe de Desarrollo
Jefe de Desarrollo
Jefe de Soporte
ANLISIS DE RIESGOS:
Amenazas x Vulnerabilidad
Activos
de
Informacion
Amenazas
Probabilidad de Ocurrencia
Vulnerabilidad
Probabilidad de Ocurrencia que la amenaza

explota la vulnerabilidad
Descripcin incorrecta de la
prueba a Realizar
Falta de Capacitacin
Jefe de Desarrollo
Prdida de Personal
Empleados desmotivados
Jefe de Produccin
Prdida de Personal
Prdida de Personal
Fallas de Hardware
Falta de mantenimiento
Fallas de Software
Fallas en la red
Desastre natural
Falta de proteccion contra desastres naturales
Prdida de Personal
Robo de Informacin
Falta de Polticas de Seguridad
Prdida de Personal
Perdida de Acceso
Falta Revision de Derechos de Acceso
Prdida de Personal
Perdida de Acceso
Fallas de Software
Fallas de Hardware
Fallas en la red
2
2
Gestin de Red inadecuada
Perdida de Datos
Poltica incorrecta para el control de accesos
Desastre natural
11
Falta de actualizaciones del S0
12
Perdida de Acceso
13
Perdida de Acceso
Hacking
No revision de los derechos y roles de accesos; divulgacion de informacion

Falta de proteccin de redes pblicas
Falla de Hardware
Falta de Mantenimiento
Falla de Software
Falla de Red
2
2

Gestin de red de inadecuada
14
15
Codigo Fuente (paquete de desarrollo)
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
Desastre natural
No revision de los derechos y roles de accesos

a usuarios;divulgacion de
informacion de credenciales
Fallas de Hardware
Fallas de Software
Fallas en la red

Gestin de Red inadecuada por parte
de los proveedores (MOV)
Desastre natural
Perdida de Acceso

Fallas de Software
Fallas en la red

Desastre natural
Carencia de programas para sustituir servicios
Perdida de Acceso

Fallas de Hardware
17
No revision de los derechos y roles de accesos; divulgacion de informacion
Robo de Informacin
Perdida de Acceso
16
3
2
4
2
10

2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
4
2
2
2
4
2
CLCULO DE RIESGOS:
Activos
de
Informacion
Amenazas
Probabilidad
de
Ocurrencia
Vulnerabilidad
que la amenaza explote
la vulnerabilidad
Probabilida de Ocurrencia
de la Amenaza
Impacto
de la
Amenaza
Riesgo
Prioridad
10
prueba a Realizar
Falta de Capacitacion
Jefe de Desarrollo
Prdida de Personal
11
Jefe de Produccin
Prdida de Personal
12
Prdida de Personal
13
Fallas de Hardware
Fallas de Software
Fallas en la red

Desastre natural
2
4
1
Prdida de Personal
2
4
12
Robo de Informacin
Prdida de Personal
Perdida de Acceso
14
Prdida de Personal
Perdida de Acceso
16
10
11
Falta de actualizaciones del Sistema Operativo
Fallas de Software
Fallas de Hardware

2
2
Fallas en la red
Perdida de Datos
2
2
Desastre natural
12
Perdida de Acceso
No revision de los derechos y roles de accesos;

divulgacion de informacion
13
Perdida de Acceso

15
14
Hacking
Falla de Hardware
Falla de Software
Falla de Red
2
2
2
2

17
15
16
17
2
2
2
2
2
2
2
Robo de Informacin
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
2
2
Desastre natural
Perdida de Acceso

Fallas de Hardware
Fallas de Software
2
2
2
2
4
Fallas en la red

Desastre natural
Perdida de Acceso

Fallas de Hardware
Fallas de Software
2
2
2
2

Fallas en la red
Desastre natural

Perdida de Acceso
CLCULO DE RIESGOS:
Activos
de
Informacion
Amenazas
Probabilidad
de
Ocurrencia
Vulnerabilidad
que la amenaza explote
la vulnerabilidad
Probabilida de Ocurrencia
de la Amenaza
Impacto
de la
Amenaza
Riesgo
Prioridad
10
prueba a Realizar
Falta de Capacitacion
Jefe de Desarrollo
Prdida de Personal
11
Jefe de Produccin
Prdida de Personal
12
Prdida de Personal
13
Fallas de Hardware
Fallas de Software
Fallas en la red

Desastre natural
2
4
1
Prdida de Personal
2
4
12
Robo de Informacin
Prdida de Personal
Perdida de Acceso
14
Prdida de Personal
Perdida de Acceso
16
10
11
Fallas de Software
Fallas de Hardware

2
2
Fallas en la red
Perdida de Datos
2
2
Desastre natural
12
Perdida de Acceso

13
Perdida de Acceso

15
14
Hacking
Falla de Hardware
Falla de Software
Falla de Red
2
2
2
2

17
15
16
17
2
2
2
2
2
2
2
Robo de Informacin
Fallas de Hardware
Fallas de Software
Fallas en la red
2
2
2
2
Desastre natural
Perdida de Acceso

Fallas de Hardware
Fallas de Software
2
2
2
2
4
Fallas en la red

Desastre natural
Perdida de Acceso

Fallas de Hardware
Fallas de Software
2
2
2
2

Fallas en la red
Desastre natural

Perdida de Acceso
CLCULO DE RIESGOS:
ESCALA DE RIESGOS:
Amenazas
Deterioro de la imagen
de la
empresa
Impacto
Economico
del
Riesgo
Tiempo de
recuperacion
de la Empresa
Posibilidad
de
Ocurriencia del Riesgo
Posibilidades de
Interrumpir las
actividades
de la empresa
Total
prueba a Realizar
Jefe de Desarrollo
Prdida de Personal
16
Jefe de Produccin
Prdida de Personal
14
Prdida de Personal
12
Activos
de
Informacion
Fallas de Hardware
Fallas de Software
Fallas en la red
Desastre natural
Prdida de Personal
11
Prdida de Personal
11
Perdida de Acceso
Prdida de Personal
11
Perdida de Acceso
Robo de Informacin
Fallas de Software
Fallas de Hardware
Fallas en la red
Perdida de Datos
Desastre natural
Perdida de Acceso
Perdida de Acceso
11
18
17
Hacking
Falla de Hardware
Falla de Software
Falla de Red
Robo de Informacin
Fallas de Hardware
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
EVALUACIN DE RIESGOS:
Activos
de
Informacion
Amenazas
Deterioro
de la imagen
de la empresa
Impacto
Economico
del
Riesgo
Tiempo de
recuperacion
de la Empresa
Posibilidad
de
Ocurriencia del Riesgo
Posibilidades de
Interrumpir las
actividades
de la empresa
Total
Nivel de Riesgo
Estrategias de
Tratamiento
del Riesgo
Controles
prueba a Realizar
Bajo
Aceptar
A.8.2.2
Jefe de Desarrollo
Prdida de Personal
16
Alto
Mitigar
A.8.2.2
Jefe de Produccin
Prdida de Personal
14
Medio
Mitigar
A.8.2.2
Prdida de Personal
12
Bajo
Aceptar
A.8.2.2
Bajo
Aceptar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
11
Medio
Mitigar
A.8.2.2
A.8.2.3
A.8.3.3
A.8.1.3
Prdida de Personal
11
Medio
Mitigar
A.8.2.2
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
Fallas de Hardware
Fallas de Software
5
Fallas en la red
Desastre natural
Prdida de Personal
Robo de Informacin
Prdida de Personal
11
Medio
Mitigar
A.8.2.2
10
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
11
Fallas de Hardware
Fallas en la red
Bajo
Aceptar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
12
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
13
Perdida de Acceso
Bajo
Aceptar
A.10.7.4
11
Medio
Mitigar
A.10.7.3
A.8.1.3
18
Alto
Mitigar
A.9.1.6
A.9.1.1
A.10.4.1
A.9.2.6
17
Alto
Mitigar
A.9.1.6
A.9.1.1
A.10.4.1
Bajo
Aceptar
A.12.4.3
A.9.1.6
A.9.1.1
A.10.4.1
Fallas de Software
Perdida de Datos
Desastre natural
Hacking
Falla de Hardware
14
Falla de Software
Falla de Red
Robo de Informacin
Fallas de Hardware
15
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
16
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
Fallas de Hardware
17
Fallas de Software
Fallas en la red
Desastre natural
Perdida de Acceso
DECLARACIN DE APLICABILIDAD:
Objetivos
de
Control
A.8.1 Previo al Empleo
A.8.2 Durante el Empleo
Aplicabilidad
Controles
Si
Justificacion
No
A.8.1.3 Terminos y
Condiciones de la Relacin
Para minimizar el riesgo de Robo de informacin
A.8.2.2 Concientizacin
Educacin y entrenamiento
en la seguridad de la
Informacin
La finalidad de que los empleados mediante entrenamiento y capacitaciones, tengan claro sus funciones laborales
A.8.2.3 Proceso Disciplinario
Asegurarse que exista proceso disciplinario
A.9.1.1 Seguridad Fisica

Perimetral
Minimizar el riesgo de ingreso al area de desarrollo
A.9.1.6 Areas de Carga,

descarga y acceso pblico
Dividir las areas de descarga con las de desarrollo para poder evitar un acceso no autorizado
A.9.2.6 Seguridad en el re-uso o

eliminacin de equipos
Para poder controlar que ninguna informacin se pueda caer en manos de terceros.
A.10.4.1 Controles contra

software malicioso
con la Implementacin de los controles de deteccin y prevencin de toma de conciencia con los usuarios
Asegurarse que la informacion no tenga un mal uso
Para que toda la documentacion este disponible solo para personal autorizado
Restringir el acceso a las librerias de los programas fuentes.
A.9.1 Areas Seguras
A.9.2 Seguridad de los Equipos
A.10.7.3 Procedimientos de
manipulacin de la
A.10 Procedimientos y
Responsabilidades de Operacin informacin
A.10.7.4 Seguridad de la
documentacin de sistemas
A.12.4.3 Control de Accesos a la A.12.4.3 Control de Accesos a la

libreria de Programas Fuentes
libreria de Programas Fuentes
PLAN DE TRATAMIENTO DE RIESGOS:

N
Activos
de
Informacion
Objetivos
de
Control
Controles
Responsable
Entregables
Recursos
Plan de Entrega
A.9.1
A.9.1.1
Control de Calidad
Politica de seguridad fisica
1/2/2016
A.9.1
A.9.1.6
Control de Calidad
Politica de Acceso
20/2/2016
A.9.2
A.9.2.6
Control de Calidad
Procedimiento para dar de baja a equipos
1/1/2016
A.10.4
A.10.4.1
Control de Calidad
Politica de integridad de software
20/1/2016
A.9.1
A.9.1.1
Produccion
Politica de seguridad fisica
1/2/2016
A.9.1
A.9.1.6
Produccion
Politica de Acceso
20/2/2016
A.10.4
A.10.4.1
Produccion
Politica de integridad de software
Administrador de Base de Datos/Analista

Programador
20/1/2016
Servidor de Base de Datos de

Produccin
Jefe de Desarrollo
A.8.2
A.8.2.2
Desarrollo
Politica de capacitacion
Asistenta Social/Capacitador Externo
15/3/2016
Jefe de Produccion
A.8.2
A.8.2.2
Produccion
15/4/2016
A.8.1
A.8.1.3
Desarrollo
Acuerdo de confidencialidad
de seguridad de la informacion
Jefe de RRHH/Jefe de Desarrollo
1/1/2016
A.8.2
A.8.2.2
Desarrollo
Jefe de Desarrollo
15/5/2016
A.8.2
A.8.2.3
Desarrollo
Procedimiento de
violacion de la seguridad
15/6/2016
A.8.3
A.8.3.3
Desarrollo
Procedimiento de derechos
de acceso
Jefe de Desarrollo
15/6/2016
A.8.2
A.8.2.2
Control de Calidad
20/7/2016
A.8.2
A.8.2.2
Sistemas
20/8/2016
A.8.1
A.8.1.3
Desarrollo
Acuerdo de confidencialidad
de seguridad de la informacion
1/1/2016
A.10.7
A.10.7.3
Desarrollo
Procedimiento para el manejo y

almacenamiento de la informacion
Jefe de Desarrollo
1/1/2016

Sistema de Gestión de La Seguridad de La Información

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Sistema de Gestión de La Seguridad de La Información

Caricato da

Copyright:

Formati disponibili

Seguridad de la Informacin

Determinacin del Alcance:

Mtodo de los Elipses:

En la "Empresa Comercio &

Identificar y proteger activos de

>= 80% Aceptable

Crear una Cultura de Seguridad

Encuestas a usuarios satisfechos

>= 60% Aceptable

IDENTIFICACIN DE LOS ACTIVOS DE INFORMACIN:

Ficha de Casos de Prueba

Confidenciali Integrida Disponibilid

Ficha de Casos de Prueba

Servidor de Base de Datos de QA

Bitacora de pases a produccin

Codigo fuente (paquete de desarrollo)

Servidor de Base de Datos de QB

Servidor de Base de Datos de Produccin

1 Ficha de Casos de Prueba

Probabilidad de Ocurrencia que la amenaza

Ficha de Casos de Prueba

Administrador de Base de Datos

Falta de proteccion contra desastres naturales

Falta de Polticas de Seguridad

Falta Revision de Derechos de Acceso

Falta Revision de Derechos de Acceso

Poltica incorrecta para el control de accesos

Falta de proteccion contra desastres naturales

Bitcora de requerimiento de usuario

Servidor de Base de Datos de QA

Falta de actualizaciones del S0

Bitacora de pases a produccin

No revision de los derechos y roles de accesos; divulgacion de informacion

Falta de actualizaciones del S0

Codigo Fuente (paquete de desarrollo)

Falta de Polticas de Seguridad

Falta de proteccion contra desastres naturales

No revision de los derechos y roles de accesos

Servidor de Base de Datos de QB

Falta de actualizaciones del S0

Falta de proteccion contra desastres naturales

No revision de los derechos y roles de accesos

Falta de actualizaciones del S0

Carencia de programas para sustituir servicios

No revision de los derechos y roles de accesos

Servidor de Base de Datos de Produccin

No revision de los derechos y roles de accesos; divulgacion de informacion

Falta de actualizaciones del S0

Ficha de Casos de Prueba

Administrador de Base de Datos

Gestin de Red inadecuada por parte

Falta de proteccion contra desastres naturales

Falta de Polticas de Seguridad

Falta Revision de Derechos de Acceso

Falta Revision de Derechos de Acceso

Bitcora de requerimiento de usuario

Falta de actualizaciones del Sistema Operativo

Servidor de Base de Datos de QA

Falta de actualizaciones del Sistema Operativo

Gestin de Red inadecuada

Poltica incorrecta para el control de accesos

Falta de proteccion contra desastres naturales

Bitacora de pases a produccin