Académique Documents
Professionnel Documents
Culture Documents
Analisis Brecha EGEMSA
Transféré par
elvert_mguerreroCopyright
Formats disponibles
Partager ce document
Partager ou intégrer le document
Avez-vous trouvé ce document utile ?
Ce contenu est-il inapproprié ?
Signaler ce documentDroits d'auteur :
Formats disponibles
Analisis Brecha EGEMSA
Transféré par
elvert_mguerreroDroits d'auteur :
Formats disponibles
2009
Seguridad y Auditora en Computacin y Sistemas
E.A.P. Ingeniera de Sistemas
2009
[E.A.P. INGENIERA DE SISTEMAS]
X CICLO
CURSO DOCENTE TEMA : Auditora y Seguridad de Sistemas : Ing. Jorge Martn Figueroa Revilla : Anlisis de Brecha Empresa EGEMSA
INTEGRANTES : Huamn Mendoza Erich Lozano Pinedo Jorge Morales Guerrero Elvert Rojas Medina Susan Trujillo Hoces Helen
HUACHO-PERU 2009 1
E.A.P. Ingeniera de Sistemas
INDICE
2009
1. ESTRUCTURA MATRIZ ANALISIS DE BRECHA 2. CALIFICACIN DEL ESTADO DE LA BRECHA 3. MATRIZ ANALISIS DE BRECHA DESARROLLADA 4. RESMEN MATRIZ 5. BIBLIOGRAFA
E.A.P. Ingeniera de Sistemas
2009
1. ESTRUCTURA MATRIZ ANALISIS DE BRECHA El detalle de la evaluacin y anlisis de brechas se mostrar en una matriz, cuyo contenido es el siguiente: Situacin actual: Muestra un resumen de la situacin encontrada en la Empresa PROMASA a partir de la informacin relevada durante las entrevistas y de los documentos relevantes entregados a nuestro equipo. Mejores prcticas: Muestra un resumen de nuestras mejores prcticas y los requerimientos mencionados en la ISO/IEC 17799-2007de la PCM motivo del presente proyecto. Anlisis de brecha: Muestra de manera grfica la brecha existente entre la situacin actual y los requerimientos de la ISO/IEC 17799-2007 de la PCM y nuestras mejores prcticas.
SITUACION ACTUAL DOMINIO 1: DOMINIO 2: DOMINIO 3: DOMINIO . : -
MEJORES PRCTICAS
ANLISIS DE LA BRECHA
Subgrupos o Subdivisiones Controles
Subgrupos o Subdivisiones Controles
Subgrupos o Subdivisiones Controles
Subgrupos o Subdivisiones Controles
E.A.P. Ingeniera de Sistemas
2. CALIFICACIN DEL ESTADO DE LA BRECHA En el siguiente cuadro se detalla la descripcin de los grficos:
2009
Razonablemente cubierto Sustancialmente cubierto Parcialmente cubierto Limitadamente Cubierto No cubierto
Los requerimientos de la ISO/IEC 17799:2004 de la PCM estn razonablemente cubiertos. Faltan realizar algunas actividades para cubrir razonablemente los requerimientos de la ISO/IEC 17799:2004 de la PCM Se han realizado actividades que cubren parcialmente los requerimientos de la ISO/IEC 17799:2004 de la PCM Se han realizado algunas actividades para cubrir los requerimientos de la de la ISO/IEC 17799:2004 de la PCM No se ha realizado ninguna actividad relacionada con los requerimientos de la ISO/IEC 17799:2004 de la PCM
E.A.P. Ingeniera de Sistemas
3. MATRIZ ANALISIS DE BRECHA DESARROLLADA DTI : Departamento de Tecnologa de Informacin.
2009
SITUACION ACTUAL DE LA EMPRESA
MEJORES PRCTICAS SEGN ISO/IEC 17799:2007
ANLISIS DE LA BRECHA
DOMINIO 1: POLTICA DE SEGURIDAD Documento de poltica de seguridad de la Documento de poltica de seguridad de la informacin informacin La empresa atreves del DTI, por ordenes de gerencia La gerencia debera aprobar, publicar y hace y le da a los usuarios la poltica de seguridad de comunicar a todos los empleados, en la forma informacin. adecuada, un documento de poltica de seguridad de la informacin. Revisin y evaluacin El DTI lleva acabo la revisin de la poltica de Revisin y evaluacin seguridad cada 06 meses, con la aprobacin de La poltica de seguridad debe ser revisada gerencia. en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. DOMINIO 2: ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD Organizacin interna Comit de gestin de seguridad de la informacin La empresa a travs del gerente general, gerente financiero y asesor legal y con apoyo del DTI, son los que gestionan la seguridad de la informacin. Organizacin interna Comit de gestin de seguridad de la informacin La gerencia debe apoyar activamente en la seguridad dentro de la organizacin a travs de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de informacin. Coordinacin de la seguridad de la informacin La informacin de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organizacin con roles relevantes y funciones de trabajo. Asignacin de responsabilidades sobre seguridad de la informacin Deberan definirse claramente las responsabilidades. La asignacin de responsabilidades sobre seguridad de la informacin debe hacerse en concordancia con la informacin de la poltica de seguridad. Las responsabilidades para la proteccin de activos individuales y para llevar a cabo procesos de seguridad especficos deben ser claramente identificadas. Deberan definirse claramente las responsabilidades locales para activos fsicos y de informacin individualizados y los procesos de seguridad
Coordinacin de la seguridad de la informacin Los que se encargan de coordinar es el DTI, respaldado por gerencia.
Asignacin de responsabilidades sobre seguridad de la informacin La responsabilidad sobre seguridad de informacin, se da cuando cada empleado firma su contrato donde especifican como se debe usar la informacin.
Proceso de autorizacin de recursos para el
E.A.P. Ingeniera de Sistemas
tratamiento de la informacin El que se encarga de realizar los procesos de tratamiento de informacin es el DTI, con aprobacin de Gerencia. Acuerdos de confidencialidad Los acuerdos de confidencialidad son realizados por gerencia para sus respetivos propsitos que cree conveniente. Contacto con autoridades Carece de polticas que establezcan contactos con autoridades superiores.
2009
Contacto con grupos de inters especial No mantiene contactos con algn grupo especialista en seguridad. Revisin independiente de la seguridad de la informacin. En la empresa el que lleva acabo la revisin independiente es el DTI.
Proceso de autorizacin de recursos para el tratamiento de la informacin Debera establecerse un proceso de autorizacin para la gestin de cada nuevo recurso de tratamiento de la informacin. Acuerdos de confidencialidad Requerimientos de confidencialidad o acuerdos de no divulgacin que reflejen las necesidades de la organizacin para la proteccin de informacin deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Las organizaciones deben de tener procedimientos instalados que especifiquen cundo y por qu autoridades deben ser contactados y como los incidentes identificados en la seguridad de informacin deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas. Contacto con grupos de inters especial Deben mantenerse contactos apropiados con grupos de inters especial u otros especialistas en foros de seguridad y asociaciones profesionales Revisin independiente de la seguridad de la informacin. El alcance de la organizacin para gestionar la seguridad de informacin y su implementacin (objetivos de control, controles, polticas, procesos y procedimientos para seguridad de informacin) deben ser revisados independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de la seguridad ocurran. Seguridad en los accesos de terceras partes Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin sean accesibles por terceros. La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no deben ser reducidas por la introduccin de un servicio o producto externo. Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin. Identificacin de riesgos por el acceso de terceros
Seguridad en los accesos de terceras partes
Identificacin de riesgos por el acceso de terceros La empresa no tiene acceso de terceros a su
E.A.P. Ingeniera de Sistemas
informacin.
2009
Requisitos de seguridad cuando sea trata con clientes La empresa no anexa los requisitos de seguridad identificados antes de dar a los clientes acceso a la informacin o a los activos de la organizacin.. Requisitos de seguridad en contratos de outsourcing La empresa no realiza anlisis de requisitos de seguridad para afianzar los acuerdos con terceros.
Los riesgos a la informacin de la organizacin y a las instalaciones del procesamiento de informacin desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la informacin o a los activos de la organizacin. Requisitos de seguridad en contratos de outsourcing Los acuerdos con terceras partes que implican el acceso, proceso, comunicacin o gestin de la informacin de la organizacin o de las instalaciones de procesamiento de informacin o la adicin de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.
DOMINIO 3: CLASIFICACIN Y CONTROL DE ACTIVOS
1. 2. 3. 4. 5. 6. 7.
8.
Responsabilidad sobre los activos Mantener una proteccin adecuada sobre los activos de la organizacin. Todos los activos deben ser considerados y tener un propietario asignado. Deberan identificarse los propietarios para todos los activos importantes, y se debera asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantacin de controles debera delegarse. Pero la responsabilidad debera mantenerse en el propietario designado del activo. Inventario de activos 9. Inventario de activos La empresa si tiene bien identificados sus activos, Todos los activos deben se claramente por que cuanta con un inventario. identificados y se debe elaborar y mantener un inventario de todos los activos importantes. Propiedad de los activos Propiedad de los activos Gerencia se encarga de controlar los activos con Toda la informacin y los activos asociados con el ayuda del DTI. proceso de informacin deben ser posedos por una parte designada de la organizacin. Uso adecuado de los activos Uso adecuado de los activos El buen uso se especifica en un manual de funciones, Las reglas para un uso aceptable de la informacin y donde cada empleado es responsable de los activos de los activos asociados con las instalaciones del asignados. procesamiento de la informacin deben ser identificadas, documentados e implementadas. Clasificacin de la informacin Clasificacin de la informacin Asegurar un nivel de proteccin adecuado a los
Responsabilidad sobre los activos
E.A.P. Ingeniera de Sistemas
2009
Guas de Implementacin La informacin se encuentra clasificada de acuerdo a la funcionalidad requerida por los sistemas de informacin en las distintas reas. 1. Marcado y tratamiento de la informacin La empresa cuenta con un conjunto de 2. procedimientos de clasificacin de informacin mediante un control de toda la informacin que ingresa y sale. DOMINIO 4: SEGURIDAD EN RECURSOS HUMANOS Seguridad antes del empleo
activos de informacin. La informacin debera clasificarse para indicar la necesidad, prioridades y grado de proteccin. Guas de Implementacin La informacin debera clasificarse en funcin de su valor, requisitos legales, sensibilidad y criticidad para la organizacin. Marcado y tratamiento de la informacin Es importante definir un conjunto adecuado de procedimientos para marcar y tratar la informacin de acuerdo con el esquema de clasificacin adoptado por la organizacin. Seguridad antes del empleo Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones. Inclusin de la seguridad en las responsabilidades y funciones laborales Las funciones y responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en concordancia con la poltica de seguridad de la organizacin. Seleccin y poltica de personal Se debe llevar listas de verificacin anteriores de todos los candidatos para empleo, contratistas y terceros en concordancia con las leyes , regulaciones y la tica, al igual que proporcionalmente a los requerimientos del negocio, la clasificacin de la informacin a ser acezada y los riesgos percibidos. Acuerdos de confidencialidad Como parte de su obligacin contractual, empleados, contratistas y terceros deben aceptar y firmar los trminos y condiciones del contrato de empleo el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin.
1. 2. 3. 4. Inclusin de la seguridad en las responsabilidades y
funciones laborales Si se tiene bien definido las funciones y responsabilidades, al momento de firmar el contrato o cuando se tiene que leer el manual interno de normas de la empresa.
5. 6. Seleccin y poltica de personal
Si cuenta con una seleccin de poltica de personal, ya que puede ser por experiencia o puestos a prueba y luego se evala su rendimiento.
7. 8. Acuerdos de confidencialidad
Si se usa informacin de confidencialidad, solo en gerencia y directorio de presidencia de la empresa.
Durante el empleo
1. 2. 3. 4. 5.
Durante el empleo Asegurar que los empleados, contratistas, y usuarios de terceros estn consientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad Responsabilidades de la gerencia de la organizacin en el curso normal de su trabajo La gerencia si brinda responsabilidad a sus y de reducir el riesgo de error humano. empleados, a la hora de capacitaciones, incentivos, Responsabilidades de la gerencia 7.
E.A.P. Ingeniera de Sistemas
etc.
2009
6. Conocimiento, educacin y entrenamiento de la
seguridad de informacin Si por que se realiza un cronograma capacitaciones para las diferentes reas. de
8.
Proceso disciplinario Existe un reglamento interno para los empleados, como cules son sus funciones, su responsabilidad, sanciones, etc. Finalizacin o cambio del empleo 1. 2. 3.
La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin. Conocimiento, educacin y entrenamiento de la seguridad de informacin Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo. Proceso disciplinario Debe existir un proceso formal disciplinario para empleados que han cometido una apertura en la seguridad. Finalizacin o cambio del empleo Asegurar que los empleados, contratistas e usuarios de terceros salgan de la organizacin o cambien de empleo de una forma ordenada. Las responsabilidades se establecen con el fin de asegurarse que la salida de la organizacin de los empleados, contratistas e usuarios de terceros este manejada y que el retorno de todo el equipo y el retiro de todo derecho acceso este completado. Responsabilidades de finalizacin Las responsabilidades para realizar la finalizacin de un empleo o el cambio de este deben ser claramente definidas y asignadas. Retorno de activos Todos los empleados, contratistas y terceros deben retornar todos los activos de la organizacin que estn en su posesin hasta la finalizacin de su empleo, contrato o acuerdo.
4. 5. Responsabilidades de finalizacin Si est definido, ya que puede ser por trmino de 8. contrato o por haber incumplido las normas de la empresa, o por bajo rendimiento en sus funciones. 6. Retorno de activos A la entrada y salida de cada empleado que usa 9. informacin confidencial se registra lo que est trayendo y lo que est llevando, que puede ser con su jefe inmediato o en vigilancia.
7. Retiro de los derechos de acceso 10. Cuando comete faltas graves que van contra los 11. Retiro de los derechos de acceso intereses de la empresa y incumpla una norma Los derechos de acceso para todos los empleados, interna de la empresa. contratistas o usuarios de terceros a la informacin y a las instalaciones del procesamiento de informacin deben ser removidos hasta la culminacin del empleo, contrato o acuerdo, o debe ser ajustada en caso de cambio DOMINIO 5: SEGURIDAD FSICA Y DEL ENTORNO reas seguras reas seguras Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de Permetro de seguridad fsica la organizacin. Si tiene identificado, donde van los equipos que Permetro de seguridad fsica almacenan informacin, o en donde estn sus Los permetros de seguridad (como paredes,
E.A.P. Ingeniera de Sistemas
activos, donde autorizado. solo tienen acceso
2009
personal tarjetas de control de entrada a puertas o un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin e Controles fsicos de entradas recursos de procesamiento de informacin. Si tiene controlado a travs de cmaras o a travs Controles fsicos de entradas de supervisores de cada rea que llevan un control Las reas de seguridad deberan estar de ocurrencias de cada da y tambin los vigilantes protegidas por controles de entrada adecuados de la empresa. que aseguren el permiso de acceso slo al personal Seguridad de oficinas, despachos y recursos autorizado. La empresa tiene sus equipos con clave, solamente Seguridad de oficinas, despachos y recursos tiene acceso el empleado y se ingresa alguien es con La seguridad fsica para oficinas, despachos y su permiso y su responsabilidad. recursos debe ser asignada y aplicada. Proteccin contra amenazas externas y ambientales La informacin est protegida en ambientes alejados Proteccin contra amenazas externas y ambientales de donde puedan ocurrir incendios o inundaciones o Se debe designar y aplicar proteccin fsica del prdidas, estn ubicadas en lugares seguros. fuego, inundacin, terremoto, explosin, malestar El trabajo en las reas seguras civil y otras formas de desastre natural o humano. Los ambientes de trabajo estn en reas seguras, El trabajo en las reas seguras donde el personal se pueda desempear con Se debera disear y aplicar proteccin fsica y pautas normalidad sus funciones, lejos de ruidos, etc. para trabajar en reas seguras. Acceso pblico, reas de carga y descarga Si se encuentran separadas, ya que en los ambientes Acceso pblico, reas de carga y descarga que se procesa informacin se tienen restringido el Se deberan controlar las reas de carga y acceso. descarga, y si es posible, aislarse de los recursos de tratamiento de informacin para evitar accesos no Seguridad de los equipos autorizados. Instalacin y proteccin de equipos Los equipos se encuentran protegidos en ambientes seguros, donde no pueda ocurrir riesgo de hurto, de inundaciones o incendios, etc. Seguridad de los equipos Instalacin y proteccin de equipos El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Suministro elctrico Suministro elctrico Todos los equipos que procesan informacin Se deberan proteger los equipos contra fallos de cuentan con energa alterna. energa u otras anomalas elctricas en los equipos de apoyo. Seguridad del cableado Se protege a travs de tubos, canaletas, y pasan por Seguridad del cableado lugares estratgicos donde no puedan sufrir algn Se debera proteger contra deterioro. interceptaciones. o daos Mantenimiento de equipos El DTI, se encarga de dar mantenimiento a los equipos cada ao. Seguridad de equipos fuera de los locales de la organizacin El jefe inmediato es el que autoriza la salida de equipos de la empresa como puede ser jefe de planta o administrado, etc.
el cableado
Mantenimiento de equipos Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. Seguridad de equipos fuera de los locales de la organizacin Se debe aplicar seguridad a los equipos que se encuentran fuera de los locales de la
10
E.A.P. Ingeniera de Sistemas
2009
Seguridad en el rehso o eliminacin de equipos organizacin tomando en cuenta los diversos Si realiza el rehus de partes de equipos, para a si riesgos a los que se est expuesto. poder ahorrar en gastos a la empresa. Seguridad en el rehso o eliminacin de equipos Todos los elementos del equipo que contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier dato Retiro de la propiedad sensible y software con licencia haya sido removido No salen, solo salen cuando son por cambio al o sobrescrito con seguridad antes de la eliminacin. proveedor. Retiro de la propiedad El equipo, informacin o software no debe ser sacado fuera del local sin autorizacin. DOMINIO 6: GESTIN DE COMUNICACIONES Y OPERACIONES Procedimientos y responsabilidades de operacin Procedimientos y responsabilidades de operacin Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Documentacin de procedimientos operativos Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran. Gestin de Cambios Se deberan controlar los cambios en los sistemas y recursos de tratamiento de informacin. Segregacin de tareas Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin. Separacin de los recursos para desarrollo y para produccin La separacin de los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional. Gestin de servicios externos Implementar y mantener un nivel apropiado de seguridad y de entrega de servicio en lnea con los acuerdos con terceros. Servicio de entrega Debemos asegurarnos que todos los controles de seguridad, definiciones de servicio y niveles de entrega incluidas en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa. Monitoreo y revisin de los servicios externos Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorias deben ser llevadas a cabo regularmente.
Documentacin de procedimientos operativos Cada sistema tiene su manual, que es elaborado por DTI.
Gestin de Cambios Se encarga DTI sacando nuevas versiones de los sistemas para actualizar con respetiva autorizacin de gerencia. Segregacin de tareas A. Si cada sistema esta desempeado para su rea que le corresponde.
Separacin de los recursos para desarrollo y para produccin En la empresa no se encuentra segregados los recursos para desarrollo, prueba y produccin .
Gestin de servicios externos
Servicio de entrega La empresa no cuenta con servicios externos.
Monitoreo y revisin de los servicios externos La empresa no cuenta con servicios externos.
11
E.A.P. Ingeniera de Sistemas
2009
Gestionando cambios para los servicios externos La empresa no cuenta con servicios externos.
Gestionando cambios para los servicios externos Cambios en la provisin del servicio, incluyendo mantenimiento y mejoras en las polticas de seguridad de informacin existentes. Planificacin y aceptacin del sistema Minimizar el riesgo de fallos de los sistemas. Son necesarias una planificacin y preparacin para asegurar la disponibilidad de capacidad y de recursos adecuados para entregar el sistema de funcionamiento requerido. Planificacin de la capacidad El uso de recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas futuras para asegurar el sistema de funcionamiento requerido. Aceptacin del sistema Se deberan establecer criterios de aceptacin para nuevos sistemas de informacin y versiones nuevas o mejoradas y se deberan desarrollar con ellos las pruebas adecuadas antes de su aceptacin.
Planificacin y aceptacin del sistema
Planificacin de la capacidad En la empresa se realiza la planificacin de la capacidad para el almacenamiento de informacin, y siempre se realiza una copia para casos de falla en un servidor. Aceptacin del sistema Los sistemas son requeridos para los diferentes procesos de la empresa y se encarga de aceptar es el DTI.
Proteccin contra software malicioso Proteger la integridad del software y de la Proteccin contra software malicioso informacin. Se requieren ciertas precauciones para prevenir y detectar la introduccin de software malicioso. 3. Medidas y controles contra software malicioso 1. Medidas y controles contra software malicioso Se deberan implantar controles para detectar el Se usa un antivirus con licencia, para la deteccin de software malicioso y prevenirse contra l, junto a software malicioso, y hay una norma de la empresa procedimientos adecuados para concientizar a los que indica que solo se puede ejecutar programas usuarios. autorizados por DTI. 4. Medidas y controles contra cdigo mvil Donde el uso de cdigo mvil es autorizado, la 2. Medidas y controles contra cdigo mvil configuracin debe asegurar que dicho cdigo La empresa posee equipos de comunicacin mvil opera de acuerdo a una poltica de telefnica y otros para consulta de correo seguridad definida y que se debe prevenir que electrnico, pero no se encuentran configurados de este sea ejecutado. acuerdo a una poltica de seguridad. Gestin de respaldo y recuperacin Gestin de respaldo y recuperacin Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y Recuperacin de la informacin comunicacin. Si se realizan copias de informacin, a travs de Recuperacin de la informacin backup, y se lleva acabo de manera automtica. Se deberan hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, en concordancia con la poltica acordada de recuperacin. Gestin de seguridad en redes Gestin de seguridad en redes
12
E.A.P. Ingeniera de Sistemas
2009
Controles de red Se realizan controles a las redes implementadas, a travs del hardware. Dichas redes, cumplen con las normas de TI.
Seguridad en los servicios de redes No han sido identificados las caractersticas de los niveles de servicio de red que existe fuera de la empresa, pero dentro de ella solo cumplen con actividades de acceso a la informacin dependiendo de qu rea la utilice.
Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Controles de red Las redes deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en transito. Seguridad en los servicios de redes Las caractersticas de seguridad, niveles de servicio y los requisitos de gestin de todos los servicios de red deben ser identificadas e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin. Utilizacin de los medios de informacin Prevenir acceso no autorizado, modificaciones, evitar daos a los activos e interrupciones de las actividades de la organizacin. Los medios deben ser controlados y fsicamente protegidos. Gestin de medios removibles Debera haber procedimientos para la gestin de los medios informticos removibles.
Utilizacin de los medios de informacin
Gestin de medios removibles No existe un procedimiento para la gestin de estos medios, pero el departamento de TI se encarga de guardarlos para un uso posterior, ya que tambin puede contener informacin importante. Eliminacin de medios Solo lo realizan a travs del formateo, en los ordenadores, que puede hacerse con el mismo XP. O un disco de arranque y otros medios, sin utilizan algn procedimiento formal. Procedimientos de manipulacin de la informacin Si se tiene un procedimiento, para la manipulacin y el resguardo de la informacin en una direccin nica.
Eliminacin de medios Se deberan eliminar los medios de forma segura y sin peligro cuando no se necesiten ms, utilizando procedimientos formales. Procedimientos de manipulacin de la informacin Los procedimientos para la manipulacin y almacenamiento de la informacin deben ser establecidos para proteger esta informacin de divulgaciones o usos no autorizados. Seguridad de la documentacin de sistemas La documentacin de sistemas debe ser protegida contra acceso no autorizado. Intercambio de informacin Evitar la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Se deberan realizar los intercambios sobre la base de acuerdos formales. Se deberan controlar los intercambios de informacin y software entre organizaciones, que deberan cumplir con toda la
Seguridad de la documentacin de sistemas Si se protege en un ordenador donde solo tiene acceso el jefe inmediato que esta en esa rea. Intercambio de informacin
13
E.A.P. Ingeniera de Sistemas
Polticas y procedimientos para el intercambio de informacin y software No se realiza ningn intercambio de informacin y software entre organizaciones.
2009
Acuerdos de Intercambio No se realiza ningn intercambio de informacin y software entre organizaciones. Medios fsicos en trnsito No se realiza ningn intercambio de informacin y software entre organizaciones.
Seguridad en la mensajera electrnica Si se protege la informacin de mensajera va electrnica, ya que se cuenta con una intranet, donde cada empleado tiene su cuenta y contrasea, y una vez que deje de trabajar en la empresa se le da de baja a esa cuenta. Sistemas de Informacin de Negocios No se realiza ninguna interconexin con sistemas de informacin de negocios.
legislacin correspondiente Polticas y procedimientos para el intercambio de informacin y software Se deberan establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Acuerdos de Intercambio Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y terceros. Medios fsicos en trnsito Los medios conteniendo informacin deben ser protegidos contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin. Seguridad en la mensajera electrnica La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
Sistemas de Informacin de Negocios Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de sistemas de informacin de negocios.
Servicios de correo electrnico
Servicios de correo electrnico Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro. Las implicaciones de seguridad asociadas con el uso de servicios de comercio electrnico, incluyendo Comercio Electrnico transacciones en lnea y los requisitos para los No existen actividades acerca de comercio controles electrnico. Comercio Electrnico La informacin envuelta en el comercio electrnico pasando a travs de redes publicas, deben ser protegidas de actividad fraudulenta, disputas de contratos y de acceso y modificacin Transacciones en lnea no autorizada. Se protege a travs de los convenios con las Transacciones en lnea entidades bancarias antes de realizar las La informacin implicada en las transacciones en transacciones en lnea, incluyendo solo el acceso lnea debe ser protegida para prevenir la autorizado. transmisin incompleta, ruta equivocada, alteracin no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del mensaje o Informacin pblica disponible reproduccin. No existe informacin pblica disponible. Informacin pblica disponible La integridad de la informacin que se ha hecho disponible en un sistema pblico debe ser protegido para prevenir modificaciones no
14
E.A.P. Ingeniera de Sistemas
Monitoreo autorizadas.
2009
Registro de la auditoria Existen supervisores quienes se encargar de verificar si la informacin ingresada a los sistemas es la correcta y si hay errores se proceder a su modificacin y documentacin.
Monitoreando el uso del sistema Se realiza constantemente el monitoreo del uso de los sistemas por parte del DTI.
Proteccin de la informacin de registro Esta protegido el acceso de los sistemas ya que cada empleado tiene acceso al sistema que va desempear sus funciones con clave. Registro de administradores y operadores Todas las actividades que realizan los administradores y operadores se registran ya que en el sistema sale el nombre de usuario. Fecha y hora de ingreso o y de modificacin. Registro de la avera Se mantiene registradas las averas que puedan ocurrir y se toman las acciones apropiadas por personal de mantenimiento y soporte. Sincronizacin del reloj Todos los sistemas tienen sincronizado el reloj y si no lo esta el mismo usuario lo puede sincronizar.
Monitoreo Detectar las actividades de procesamiento de informacin no autorizadas Registro de la auditoria Los registros de auditoria grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Monitoreando el uso del sistema Los procedimientos para el uso del monitoreo de las instalacin de procesamiento de informacin deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Proteccin de la informacin de registro Las instalaciones de informacin de registro deben ser protegidas contra acciones forzosas u acceso no autorizado. Registro de administradores y operadores Las actividades del administrador y de los operadores del sistema deben ser registradas.
Registro de la avera Las averas deben ser registradas, analizadas y se debe tomar acciones apropiadas. Sincronizacin del reloj Los relojes de todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.
DOMINIO 7: CONTROL DE ACCESOS Requisitos de negocio para el control de accesos Requisitos de negocio para el control de accesos Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Poltica de control de accesos Poltica de control de accesos El DTI, es el encargado por orden de Gerencia de dar Una poltica de control de acceso debe ser el acceso a cada uno de los usuarios que va usar un establecida, documentada y revisada y debe estar sistema crendole su ID de usuario y clave, donde un basada en los requerimientos de seguridad y del usuario va tener acceso solo al sistema que negocio. desarrollar sus funciones y el tambin es el que retira el acceso de usuarios una vez que el
15
E.A.P. Ingeniera de Sistemas
trabajador cambie de puesto o deje de laborar en la empresa. Gestin de acceso de usuarios
2009
Gestin de acceso de usuarios Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de informacin. Se debera establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios.
Registro de usuarios El registro de usuario es general, solo en los administradores del sistema que tienen acceso a todas las funciones de los sistemas para poder realizar cambios en las funciones de los sistemas, ya que los usuarios solo pueden hacer actualizaciones, ingresos, etc. Lo realiza un encargado del DTI, sin ningn procedimiento formal. Gestin de privilegios El uso y asignacin de privilegios es controlado por el DTI, para los administradores de los sistemas, autorizados, ya que ellos pueden dar mantenimiento a los sistemas. Gestin de contraseas de usuario Existe un procedimiento que esta a cargo del DTI que es el encargado de dar a todos los usuarios su clave de acceso, y el usuario realiza su confirmacin enviando un correo electrnico al DTI luego de poder ingresar correctamente al sistema. Revisin de los derechos de acceso de los usuarios Se revisa cuando el usuario tiene algn inconveniente al ingreso del sistema, sin un proceso formal establecido. Responsabilidades de los usuarios
Registro de usuarios Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario.
Gestin de privilegios Debera restringirse y controlarse el uso y asignacin de privilegios. Gestin de contraseas de usuario Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal.
Revisin de los derechos de acceso de los usuarios La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Responsabilidades de los usuarios Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la informacin y de las instalaciones del procesamiento de informacin. Una proteccin eficaz necesita la cooperacin de los usuarios autorizados.
Uso de contraseas Uso de contraseas Los usuarios deberan seguir buenas prcticas de La contrasea es otorgada por el DTI a los usuarios, seguridad para la seleccin y uso de sus donde cada usuario es responsable, y decide cambiar contraseas. su contrasea enviando un correo al DTI para su respetiva modificacin donde el DTI le pide al usuario que le envi la nueva contrasea. Equipo informtico de usuario desatendido Equipo informtico de usuario desatendido Al momento que el usuario sale por algn motivo Los usuarios deberan asegurar que los equipos
16
E.A.P. Ingeniera de Sistemas
deja bloqueado su equipo y una vez que termina su da laborable se paga el ordenador. Poltica de pantalla y escritorio limpio Cada usuario tiene en su disco duro una particin donde guarda informacin y otra particin donde es compartida con todos los usuarios.
2009
informticos desatendidos estn debidamente protegidos. Poltica de pantalla y escritorio limpio Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Control de acceso a la red Prevenir el acceso no autorizado de los servicios de la red. Debera controlarse el acceso a los servicios a las redes internas y externas Poltica de uso de los servicios de la red Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica.
Control de acceso a la red
Poltica de uso de los servicios de la red Si existe una poltica para acceder a los servicios de red para lo cual estn autorizados. Todos los usuarios poseen una direccin especfica para guardar la informacin utilizada por su propia rea y otra para guardar la requerida por otras. Autentificacin de usuario para conexiones externas La empresa no posee usuarios que accedan remotamente.
Identificacin de equipos en las redes Realizan la autentificacin de conexiones desde equipos especficos a travs de su Red Privada Virtual. Tambin posee Firewall para controlar el servicio de internet y accesos a red. Diagnostico remoto y configuracin de proteccin de puertos A travs de la VPN el DTI hace la configuracin y proteccin de los puertos. Segregacin en las redes Los servicios de informacin, usuarios y sistemas de informacin se encuentran separados en las redes existentes, de acuerdo a Clase B. Control de conexin a las redes Las redes son contraladas, ya que todos los empleados no tienen acceso a ella, y slo los administradores de redes tienen acceso para dar su respetivo mantenimiento. Control de enrutamiento en la red Existen controles, a travs del DTI, para casos de interrumpirse la conexin o transferencia de archivos, este departamento se encarga de reponer el servicio.
Autentificacin de usuario para conexiones externas Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos. Identificacin de equipos en las redes Las identificaciones automticas de equipo deben ser consideradas como medios para autentificar conexiones desde locales y equipos especficos. Diagnostico remoto y configuracin de proteccin de puertos Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos. Segregacin en las redes Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes. Control de conexin a las redes Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio. Control de enrutamiento en la red Se deberan implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones.
17
E.A.P. Ingeniera de Sistemas
2009
Control de acceso al sistema operativo
Procedimientos de conexin de terminales Los terminales cuentan con un acceso seguro hacia los servicios de informacin. Identificacin y autenticacin del usuario Cada usuario al ingresar al sistema automticamente ingresa con un identificador nico.
Sistema de gestin de contraseas El DTI otorga a todos los usuarios una contrasea para el acceso a correo electrnico, pero no proporciona un medio eficaz para contraseas de los sistemas de informacin. Utilizacin de las facilidades del sistema El DTI, se encarga de controlar la instalacin de software que pueda atentar la seguridad de la informacin.
Desconexin automtica de sesiones Se desactiva la pantalla del terminal del usuario tras un periodo de tiempo de inactividad (10 min), pero no se cierran las aplicaciones en ejecucin. Limitacin del tiempo de conexin No se controlan los lmites de tiempo de conexin.
Control de acceso al sistema operativo Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberan utilizar para restringir el acceso a los recursos del computador. Procedimientos de conexin de terminales El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Identificacin y autenticacin del usuario Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Sistema de gestin de contraseas Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Utilizacin de las facilidades del sistema La mayora de las instalaciones informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Desconexin automtica de sesiones Las sesiones se deberan desactivar tras un periodo definido de inactividad.
Limitacin del tiempo de conexin Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo. Control de acceso a las aplicaciones y la informacin Prevenir el acceso no autorizado a la informacin contenida en los sistemas. Se deberan usar las facilidades de seguridad lgica dentro de los sistemas de aplicacin para restringir el acceso. Restriccin de acceso a la informacin Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones slo a los usuarios de ste, incluido el personal de apoyo, de acuerdo con una poltica de control de accesos definida. Aislamiento de sistemas sensibles Los sistemas sensibles pueden necesitar entornos informticos dedicados (aislados).
Control de acceso a las aplicaciones y la informacin
Restriccin de acceso a la informacin Se otorga el acceso a la informacin del sistema de aplicaciones slo a los usuarios de ste.
Aislamiento de sistemas sensibles Los sistemas sensibles como el de Facturacin se encuentran en entornos aislados, como por ejemplo, en terminales sin puertos de conexin para USB.
18
E.A.P. Ingeniera de Sistemas
2009
Informtica mvil y teletrabajo Informtica mvil y teletrabajo Garantizar la seguridad de la informacin Informtica mvil y comunicaciones cuando se usan dispositivos de informtica mvil Solo los administradores de los sistemas tienen los y teletrabajo. sistemas a travs de medios porttiles y telfonos Informtica mvil y comunicaciones mviles. Se debera adoptar una poltica formal y medidas de seguridad apropiadas con el fin de Teletrabajo protegernos contra los riesgos cuando se usan No se realizan actividades de Teletrabajo, slo dispositivos de informtica. existe en propuesta para los gerentes de la empresa. Teletrabajo Se deberan desarrollar e implementar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo. DOMINIO 8: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requisitos de seguridad de los sistemas Requisitos de seguridad de los sistemas Asegurar que la seguridad est imbuida dentro de los sistemas de informacin Anlisis y especificacin de los requisitos de seguridad Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a sistemas existentes deberan especificar los requisitos de control.
Anlisis y especificacin de los requisitos de seguridad En la empresa todos los sistemas cuentan con manuales otorgados por DTI, mas no realizan un anlisis de requisitos de seguridad para los nuevos sistemas o mejoras en los ya existentes. Los controles para stos sistemas slo se basan en su funcionalidad. Seguridad de las aplicaciones del sistema
Validacin de los datos de entrada Si se valida la informacin que se ingresa a travs de las aplicaciones. Control del proceso interno Lasa aplicaciones poseen comprobaciones de validacin que detectan los errores en el ingreso de informacin.
Integridad de mensajes Se identificado la integridad y proteccin de mensajes empleando cdigo de autenticacin de mensaje basados en resmenes (HMAC - Hash Message). Validacin de los datos de salida
Seguridad de las aplicaciones del sistema Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Se deberan disear dentro de las aplicaciones (incluidas las aplicaciones escritas por los usuarios) las medidas de control. Validacin de los datos de entrada Se deberan validar los datos de entrada a las aplicaciones del sistema para garantizar que son correctas y apropiadas. Control del proceso interno Se deberan incorporar a los sistemas comprobaciones de validacin para detectar cualquier tipo de corrupcin de informacin a travs de errores del proceso o por actos deliberados. Integridad de mensajes Se debera identificar los requerimientos para asegurar la autenticacin y proteccin de la integridad de los mensajes en aplicaciones y se deberan de identificar e implementar controles apropiados. Validacin de los datos de salida
19
E.A.P. Ingeniera de Sistemas
2009
No se realiza ya que cada usuario es responsable de Se deberan validar los datos de salida de un mensajes que enva ya dems no se enva sistema de aplicacin para garantizar que el informacin confidencial por mensajes. proceso de la informacin ha sido correcto y apropiado a las circunstancias. Controles criptogrficos Controles criptogrficos Proteger la confidencialidad, autenticidad o integridad de la informacin. Se deberan usar sistemas y tcnicas criptogrficas para proteger la informacin sometida a riesgo, cuando otras medidas y controles no proporcionen la proteccin adecuada. Poltica de uso de los controles criptogrficos La organizacin debera desarrollar e implementar una poltica de uso de las medidas criptogrficas para proteger la informacin. Gestin de claves La gestin de claves debe criptogrficas debe apoyar el uso de las tcnicas criptogrficas en la organizacin. Seguridad de los archivos del sistema Asegurar la seguridad de los archivos del sistema. El acceso a los archivos del sistema debera ser controlado y los proyectos de Tecnologa de la Informacin (TI) y las actividades complementarias deben ser llevadas a cabo de una forma segura. Control del software en produccin Deberan existir procedimientos para controlar la instalacin del software en sistemas operacionales. Proteccin de los datos de prueba del sistema Los datos de prueba deben ser seleccionados cuidadosamente, as como protegidos y controlados. Control de acceso a los cdigos de programas fuente El acceso a los cdigos de programas fuente debe ser restringido.
Poltica de uso de los controles criptogrficos No se realizan este tipo de actividades, slo esta en propuesta. Gestin de claves No se realizan este tipo de actividades acerca de gestin de claves. Seguridad de los archivos del sistema
Control del software en produccin La gerencia es quien autoriza adquirir nuevas versiones de los sistemas operativos, sin ningn procedimiento formal. Proteccin de los datos de prueba del sistema Se protege guardndolos en un servidor de prueba para sistemas nuevos. Control de acceso a los cdigos de programas fuente Las libreras de programa fuente son guardado en un servidor donde solo tiene acceso el DTI, donde ellos se encargan de modificar, agregar mas funciones o sacar nueva versiones de los sistemas. Seguridad en los procesos de desarrollo y soporte
Procedimientos de control de cambios Cuando el DTI es autorizado por gerencia a adquirir o desarrollar una nueva versin de un sistema, primero es puesto a prueba y luego se capacita a los usuarios. Revisin tcnica de los cambios en el sistema operativo Si se realiza una revisin tcnica encargada por
Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software de aplicacin y la informacin. Se deberan controlar estrictamente los entornos del proyecto y de soporte Procedimientos de control de cambios La implementacin de cambios debe ser controlada usando procedimientos formales de cambio.
20
E.A.P. Ingeniera de Sistemas
personal de soporte de DTI donde se genera un backup de la informacin de cada ordenador. Esta actividad se realiza anualmente. Restricciones en los cambios a los paquetes de software No se restringen los cambios en paquetes de software si no son estrictamente controlados ya que todo cambio es requerido conforme el proceso del rea. Fuga de Informacin Se realizan copias o backup, pero no se previenen los riesgos de fuga de informacin. Desarrollo externo del software No se realiza, se crea por parte del personal de desarrollo de DTI. Gestin de la vulnerabilidad tcnica
2009
Revisin tcnica de los cambios en el sistema operativo Se deberan revisar y probar las aplicaciones del sistema cuando se efecten cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Restricciones en los cambios a los paquetes de software No se recomiendan modificaciones a los paquetes de software. Se debera limitar a cambios necesarios y todos estos deben ser estrictamente controlados. Fuga de Informacin Las oportunidades de fuga de informacin deben ser prevenidas. Desarrollo externo del software El desarrollo externo del software debe ser supervisado y monitoreado por la organizacin. Gestin de la vulnerabilidad tcnica Reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas publicadas.
Control de las vulnerabilidades tcnicas. La vulnerabilidades tcnicas son muy bajas ya que al momento de adquirir los equipos tiene que cumplir 1. todo los requisitos para que los sistemas puedan 2. funcionar con normalidad sin ningn inconveniente 3. y si que existe es detectada de inmediato por el DTI, para darle la solucin correspondiente.
Control de las vulnerabilidades tcnicas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas informacin utilizadas. Igualmente, se debe evaluar la exposicin de la organizacin a tales vulnerabilidades y las medidas apropiadas para tratar a los riegos asociados. DOMINIO 9: GESTIN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIN Reportando eventos y debilidades de la seguridad de Reportando eventos y debilidades de la seguridad informacin de informacin Asegurar que los eventos y debilidades en la seguridad de informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva a Reportando los eventos en la seguridad de tiempo. informacin Reportando los eventos en la seguridad de Los reportes de eventos en la seguridad de informacin informacin se realizan contantemente de una Los eventos en la seguridad de informacin forma automtica por el sistema. deben ser reportados lo ms rpido posible a Reportando debilidades en la seguridad de travs de una gestin de canales apropiada informacin Reportando debilidades en la seguridad de Si cada usuario detecta una falla en el sistema se le informacin consulta de inmediato al personal DTI para que tome Todos los empleados, contratistas y terceros que medidas correctivas y se le de solucin a los son usuarios de los sistemas y servicios de
21
E.A.P. Ingeniera de Sistemas
problemas que pueda traer mas adelante.
2009
informacin deben anotar y reportar cualquier debilidad observada o sospechada en la Gestin de las mejoras e incidentes en la seguridad seguridad de estos. de informacin Gestin de las mejoras e incidentes en la seguridad de informacin Responsabilidades y procedimientos Asegurar un alcance consistente y efectivo Cada usuario tiene como responsabilidad la de aplicado a la gestin de incidentes en la seguridad informar al DTI de los incidente que tenga en el de informacin. desempeo de sus activas, ya sea perdida de datos o Responsabilidades y procedimientos ingreso mal de datos o errores del sistema que se Las responsabilidades y procedimientos de la den. gerencia deben ser establecidas para asegurar Aprendiendo de los incidentes en la seguridad de una rpida, efectiva y ordenada respuesta a los informacin incidentes en la seguridad de informacin. Existe un registro de los incidentes de seguridad que Aprendiendo de los incidentes en la seguridad de ocurren, los cules son analizados para un control informacin preventivo en caso de incidentes posteriores. Debe existir un mecanismo que permita que los Recoleccin de evidencia tipos, volmenes y costos de los incidentes en la Si se recolecta este tipo de informacin y en caso de seguridad de informacin sean cuantificados y incidentes de seguridad de informacin se utilizan monitoreados. memorndum hacia el empleado. Recoleccin de evidencia Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada para estar conforme con las reglas para la colocacin de evidencia en la jurisdiccin relevante. DOMINIO 10: GESTIN DE CONTINUIDAD DEL NEGOCIO Aspectos de la gestin de continuidad del negocio Aspectos de la gestin de continuidad del negocio Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos de los sistemas de informacin o desastres. Incluyendo la seguridad de informacin en el proceso de gestin de la continuidad del negocio Se debera instalar en toda la organizacin un proceso de gestin para el desarrollo y el mantenimiento de la continuidad del negocio a travs de la organizacin que trate los requerimientos en la seguridad de informacin necesarios para la continuidad del negocio. Continuidad del negocio y evaluacin de riesgos Los eventos que pueden causar interrupciones a los procesos de negocio deben ser identificados, junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de informacin.
Incluyendo la seguridad de informacin en el proceso de gestin de la continuidad del negocio La empresa por parte del DTI tiene identificado las debilidades de la empresa que informa a la gerencia para crear nuevos planes de solucin y as mantener la continuidad del negocio sin inconvenientes.
Continuidad del negocio y evaluacin de riesgos Los riegos son identificados por un personal especializado escogido por gerencia para la evaluacin de los riesgos tanto internos como externos de la empresa para as poder realizar un plan preventivo y mantener la continuidad del negocio. Redaccin e implantacin de planes de continuidad que incluyen la seguridad de informacin Solo se realizan planes de prevencin de los riesgos Redaccin e implantacin de planes de continuidad
22
E.A.P. Ingeniera de Sistemas
2009
para darle continuidad al negocio pero no cuenta que incluyen la seguridad de informacin con un plan estratgico empresarial. Se deberan desarrollar planes de mantenimiento y recuperacin de las operaciones del negocio, para asegurar la disponibilidad de informacin al Marco de planificacin para la continuidad del nivel y en las escalas de tiempo requeridas, tras la negocio interrupcin o la falla de sus procesos crticos. Se mantiene un marco nico de planificacin, que se Marco de planificacin para la continuidad del va modificando de acuerdo a los requerimientos de negocio nuevos procesos que se van creando en la empresa. Se debera mantener un esquema nico de planes de continuidad del negocio para asegurar que dichos planes son consistentes, para tratar los Prueba, mantenimiento y reevaluacin de los planes requisitos de seguridad y para identificar las de continuidad prioridades de prueba y mantenimiento. Se realiza pruebas y reevaluacin de los planes Prueba, mantenimiento y reevaluacin de los planes conforme al calendario establecido en cronograma de continuidad del plan. Los planes de continuidad del negocio se deberan probar regularmente para asegurarse de su actualizacin y eficacia. DOMINIO 11: CUMPLIMIENTO Cumplimiento con los requisitos legales Cumplimiento con los requisitos legales Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad. Identificacin de la legislacin aplicable Se deberan definir, documentar y mantener actualizado de forma explcita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de informacin. Derechos de propiedad intelectual (DPI) Se deberan implantar los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales, reguladoras y contractuales sobre el uso del material protegido por derechos de propiedad intelectual y sobre el uso de productos de software propietario. Salvaguarda de los registros de la organizacin Se deberan proteger los registros importantes de la organizacin frente a su prdida, destruccin y falsificacin en concordancia con los requisitos regulatorios, contractuales y de negocio. Proteccin de los datos y de la privacidad de la informacin personal La proteccin de datos y la privacidad debe ser asegurada como se requiere en la legislacin, las regulaciones y, si es aplicable, en las clusulas contractuales. Prevencin en el mal uso de los recursos de tratamiento de la informacin
Identificacin de la legislacin aplicable Si se tiene establecido las normas de uso de los sistemas de la empresa para su regularizacin correspondiente.
Derechos de propiedad intelectual (DPI) Se adquiere los derechos comprando licencias para poder usarlos.
Salvaguarda de los registros de la organizacin Todos los registros de informacin estn guardados por mdulos o por rea con su respetivo backup.
Proteccin de los datos y de la privacidad de la informacin personal Se tiene una poltica para el uso de los datos personales de los trabajadores solo son manejados internamente y solo son brindados a entidades del estado. Prevencin en el mal uso de los recursos de
23
E.A.P. Ingeniera de Sistemas
2009
tratamiento de la informacin El personal debe ser disuadido de utilizar los Toda informacin es prevenida con capacitaciones al recursos de tratamiento de la informacin para personal para evitar su mal uso. propsitos no autorizados. Regulacin de los controles criptogrficos Los controles criptogrficos deben ser utilizados en conformidad con todos los acuerdos, leyes y regulaciones. Revisiones de la poltica de seguridad y de la conformidad tcnica Asegurar la conformidad de los sistemas con las polticas y normas de seguridad. Se deberan hacer revisiones regulares de la seguridad de los sistemas de informacin. Conformidad con la poltica de seguridad y los estndares Los gerentes deberan asegurarse que se cumplan correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad cumpliendo las polticas y estndares de seguridad. Comprobacin de la conformidad tcnica Se debera comprobar regularmente la conformidad con las normas de implantacin de la seguridad en los sistemas de informacin. Consideraciones sobre la auditoria de sistemas Maximizar la efectividad y minimizar las interferencias en el proceso de auditora del sistema. Controles de auditora de sistemas Se deberan planificar cuidadosamente y acordarse los requisitos y actividades de auditora que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupcin de los procesos de negocio. Proteccin de las herramientas de auditora de sistemas Se deberan proteger los accesos a las herramientas de auditora de sistemas con el fin de prever cualquier posible mal uso o dao.
Regulacin de los controles criptogrficos No se realizan este tipo de actividades.
Revisiones de la poltica de seguridad y de la conformidad tcnica
Conformidad con la poltica de seguridad y los estndares Todos los reglamentos de poltica de seguridad cumplen las normas y se hace constantemente las revisiones correspondientes. Comprobacin de la conformidad tcnica La comprobacin lo hace un ingeniero de sistemas, con ayuda de tcnicos especializados en soporte para despus emitir su informe a gerencia de conformidad. Consideraciones sobre la auditoria de sistemas
Controles de auditora de sistemas No se realiza este tipo de actividad.
Proteccin de las herramientas de auditora de sistemas No se realiza este tipo de actividad.
24
E.A.P. Ingeniera de Sistemas
2009
4. RESMEN MATRZ
ANLISIS DE DOMINIOS DE LA NORMA
DOMINIO 1: POLTICA DE SEGURIDAD
BRECHA
DOMINIO 2: ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
DOMINIO 3: CLASIFICACIN Y CONTROL DE ACTIVOS
DOMINIO 4: SEGURIDAD EN RECURSOS HUMANOS
DOMINIO 5: SEGURIDAD FSICA Y DEL ENTORNO
DOMINIO 6: GESTIN DE COMUNICACIONES Y OPERACIONES
DOMINIO 7: CONTROL DE ACCESOS
DOMINIO 8: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
DOMINIO 9: GESTIN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIN
DOMINIO 10: GESTIN DE CONTINUIDAD DEL NEGOCIO
DOMINIO 11: CUMPLIMIENTO
25
E.A.P. Ingeniera de Sistemas
2009
5. BIBLIOGRAFA NTP-ISO/IEC 17799 : 2007
26
Vous aimerez peut-être aussi
- Guia de Conexion Hi SuiteDocument11 pagesGuia de Conexion Hi SuiteSam Smith De La Vega ContrerasPas encore d'évaluation
- Atributos Mas Valorados Por El ConsumidorDocument3 pagesAtributos Mas Valorados Por El ConsumidorMateo WallisPas encore d'évaluation
- Estudio de Caso AA3Document3 pagesEstudio de Caso AA3andrea barreraPas encore d'évaluation
- Formato H.V AudifarmaDocument4 pagesFormato H.V Audifarmalina maria gomezPas encore d'évaluation
- Fraudeinstructivoidvision PDFDocument23 pagesFraudeinstructivoidvision PDFKAREN PAOLA HENRIQUEZ ACUÑAPas encore d'évaluation
- Fuente 1Document3 pagesFuente 1Cami IPPas encore d'évaluation
- ALCATEL OT-708A One Touch Mini Manual de UsuarioDocument40 pagesALCATEL OT-708A One Touch Mini Manual de UsuarioHenry Rojas MartinezPas encore d'évaluation
- Unidad 3 Caso Practico Investigacion de MercadosDocument5 pagesUnidad 3 Caso Practico Investigacion de MercadosDora LoaizaPas encore d'évaluation
- FITELDocument14 pagesFITELAbner Mayhuay CaceresPas encore d'évaluation
- Ensayo (Tecnología)Document3 pagesEnsayo (Tecnología)Roy CartagenaPas encore d'évaluation
- Texto ContinuoDocument7 pagesTexto ContinuoLizeth Benito RamosPas encore d'évaluation
- Investigacion AppsDocument6 pagesInvestigacion AppsLuz De Luna GutierrezPas encore d'évaluation
- La Lectura Como Proceso de ComunicaciónDocument7 pagesLa Lectura Como Proceso de ComunicaciónEstefani Colin FernandezPas encore d'évaluation
- SS2 Información General Del Sistema SmartShot V1.1Document25 pagesSS2 Información General Del Sistema SmartShot V1.1jose antonio paredes villalobosPas encore d'évaluation
- Metodo DelphiDocument9 pagesMetodo DelphiMaria de Jesus VazquezPas encore d'évaluation
- Texto Expositivo EsquemaDocument18 pagesTexto Expositivo EsquemaSebastian Ismael Noriega CarbajalPas encore d'évaluation
- Tema 2Document23 pagesTema 2Ines SanchezPas encore d'évaluation
- Guia de Informe FinalDocument12 pagesGuia de Informe FinalJose Miguel Pecho VillalvaPas encore d'évaluation
- XPULSE200T Manual de UsuarioDocument90 pagesXPULSE200T Manual de UsuarioRafael PerezPas encore d'évaluation
- Las Telecomunicaciones En-El Perú Mercados de Servicios PDFDocument74 pagesLas Telecomunicaciones En-El Perú Mercados de Servicios PDFLeo PilaresPas encore d'évaluation
- Segundo CursoDocument34 pagesSegundo CursoDelia RMPas encore d'évaluation
- CT.P.G.E. S.C.2018. Final Converted 1Document15 pagesCT.P.G.E. S.C.2018. Final Converted 1andres chavez0% (1)
- Nivel de Uso de Las Tic's y Estilos de Vida en Estudiantes de Ingeniería ElectrónicaDocument102 pagesNivel de Uso de Las Tic's y Estilos de Vida en Estudiantes de Ingeniería ElectrónicaYunior Andrés Castillo SilverioPas encore d'évaluation
- Articulo Nucleo TelcelDocument13 pagesArticulo Nucleo TelcelFelixVillaseñorMartinezPas encore d'évaluation
- GPS G100 Manual Espanol 2017Document27 pagesGPS G100 Manual Espanol 2017valery63Pas encore d'évaluation
- Tarea 7 Historia de La Civ. Moderna Y Cont.Document20 pagesTarea 7 Historia de La Civ. Moderna Y Cont.Elin GarciaPas encore d'évaluation
- HUAWEI GR3 Guía Del Usuario TAG-L23 01 América Latina EspañolDocument74 pagesHUAWEI GR3 Guía Del Usuario TAG-L23 01 América Latina EspañolRavp Papatito50% (2)
- Plataformas MovilesDocument25 pagesPlataformas MovilesGUILLERMO ANTONIO SANDOVAL FLORESPas encore d'évaluation
- Computador en ColombiaDocument2 pagesComputador en ColombiaJohanna Rojas RojasPas encore d'évaluation
- Actividad en Contexto - Escenario 2Document5 pagesActividad en Contexto - Escenario 2Camilo Esteban Ortega LizcanoPas encore d'évaluation
