Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contexto
Las empresas que se encargan del área de soporte técnico y/o mantenimiento de
equipos de cómputo, son comúnmente contratadas por las pequeñas e incluso,
medianas y grandes empresas, lo cual involucra en estas, el establecimiento de
métodos, políticas, controles y medidas que garanticen no solo la prestación
correcta del servicio, sino también el aseguramiento de la información guardada
en los equipos. A continuación se describen los siguientes riesgos a los que estas
empresas están expuestas, riesgos que pueden perjudicar las diferentes
actividades del negocio, o bien, hasta la existencia de la misma empresa.
Desarrollo
Los riesgos identificados se pueden clasificar en los siguientes alcances:
Seguridad de la información
Información específica de redes y sistemas de cómputo (configuraciones,
información de usuarios, accesos, permisos, contraseñas, detección de
vulnerabilidades) que puede usarse para realizar actividades relacionadas
con delitos informáticos.
Privacidad
Información privada y/o confidencial (datos personales, datos fiscales,
datos bancarios, etc.) que pueden permitir la realización de actividades
perjudiciales tanto para la empresa como para su personal.
Propiedad Intelectual
Información clasificada relacionada con productos y servicios. Esta
información puede estar expuesta a su revelación y mal uso de terceros.
Identificación de riesgos
Seguridad de la información
o Daño a propiedad privada
o Espionaje
o Robo
o Suplantación o falsificación de identidad
o Fraude
Privacidad
o Secuestro
o Problemas legales
o Extorsión
o Divulgación de información privada y/0 confidencial
Propiedad Intelectual
o Plagio
o Piratería
o Robo de regalías
Planificación
QUÉ
Que es lo que se debe proteger, en nuestro caso la información que se
encuentra en los Activos de equipo de cómputo.
DÓNDE
Localización o ubicación de estos activos.
CÓMO
Métodos, políticas, controles y medidas para el aseguramiento de estos
activos.
CUÁNDO
Casos específicos, como en este, en el cual equipo de cómputo es expuesto
a terceros.
1. QUE
Computadoras personales, portátiles, servidores e impresoras.
Información guardada en los discos duros:
o Archivos de usuarios
Personales
Laborales
Programas
Base de datos
Correo electrónico
Cuentas bancarias
Documentos
o Información de sistema
Acceso a recursos de red
Acceso a sistemas
o Información de usuarios
Cuentas
Permisos
o Programas
Aplicaciones
Sistemas
2. DONDE
Equipo de cómputo de las diferentes áreas y departamentos de la
empresa, con prioridad a aquellos con actividades clave o críticas.
3. COMO
Métodos, políticas, controles y medidas para el aseguramiento de estos
activos. Estos serán definidos en los contratos de servicio con la empresa,
especificando responsabilidades en ambas partes con los fundamentos
legales aplicables para prevenir los riesgos identificados. En estas se
definirán como por ejemplo, perfiles del personal de soporte técnico,
inventario de equipos e información, control de revisiones a equipos,
código de ética, etc.
Estos deberán cumplirse, teniendo controles que se estarán revisando
periódicamente a través de auditorías que permitan un control del
servicio por parte de la empresa al proveedor.
4. CUANDO
Intervención del personal de la empresa:
o Mantenimiento preventivo y correctivo
o Reparación de equipos
Objetivos
Los objetivos son enfocados en garantizar al cliente:
Seguridad (Confidencialidad, Integridad, Disponibilidad, ) de la
información
Privacidad de la información
Prestación correcta del servicio
Prevención de delitos relacionados con el manejo de la información
Resguardo de la información
Preservación de la información
Evaluación de Riesgos
Análisis de riesgos
Privacidad
1. Plagio 4 1 5 Medio
2. Piratería 5 2 7 Alto
3. Robo de 4 1 5 Medio
regalías
Monitoreo
Conclusiones