Ejecucin del anlisis y evaluacin de riesgos Establecimiento del contexto

Alumno: Alejandro Daniel Perez, legajo 5648/2 Propsito:

Ayudarleaentendercmodeterminarelcontextoparalagestindelosriesgosdeseguridadde lainformacin. PrimeraParte Instrucciones: 1. Identifiqueunaorganizacindesueleccin.Sideseapuedeutilizarsupropia organizacinperonoincluyeningndatoquepuedaidentificaralgndetalledela compaaqueviolesuseguridad.Sinosesientecmodousandosuorganizacin, ustedpuedeidearunapropia,porejemplounbanco,unproveedordeInternet,una empresadecomercioelectrnicoounproveedordeseguridadparaunaeropuerto. 2. Considerequeproductososerviciosofrecelaorganizacin 3. Identifiqueelpropsitodelaempresa,sunegocio,misin,valores,estructura,estrategia yrestricciones.

Organizacin seleccionada: Dharma Soluciones Informticas.

http://www.dharmast.com.ar Servicios.
Laempresaestaespecializadaenseguridadelectrnica.Laempresabrindalossiguientes servicios: Monitoreodealarmas. Videovigilanciaycontrol. Detecciondeintrusion. Deteccindehumo,gasyprevencindefuegoseincendios. Controldeaccesosyrelojesdepersonal. Mantenimiento.

Monitoreo de alarmas.
Elcentrodemonitoreoestatentolas24horasdelda,los365dasdelao.Encasoderobo, asalto,emergenciamdica,incendio,prdidadelacadenadefro,etc.unoperadorser informadodelasituacinensegundos,utilizandosupaneldealarma,encombinacinconsu lneatelefnica,conexinaInternetoserviciodeGPRS.Luego,segnlasdirectivasacordadas conelcliente,laempresaseocupadedaravisoalasautoridadespertinentesparagarantizar suseguridadytranquilidad.Hogaresyviviendasconlatranquilidaddeestarprotegidospor DharmaSolucionesTecnolgicas. Videovigilanciaycontrol. Cuentanconsistemasdevideovigilanciadeltimatecnologa,quepermitenverlocalmente,a travsdeInternetygrabar.Ofrecencmarasdeseguridadparavisinnocturna,para intemperie,IP,espas,etc.Seevitaelrobodecmarasexterioresusandogabinetes antivandlicosprovistosporlaempresa. Detecciondeintrusion. Ofrecensistemasmonitoreadosamedida.Cuentaconavisoinmediatoanteeventosderobo, asalto,incendio,emergenciamdica,escapesdegas,inundacin,cortedecadenadefro,etc. Secuentaconsistemasautnomos,conavisodesirenayllamadorestelefnicos. Tambinofreceproteccinpormediodepermetros,aligualquesistemasdeproteccincon cablemicrofnico,cercaselectrificadas,barrerasdemicroondas,barrerasinfrarrojasy sistemasdedeteccindemovimiento.

Controldeaccesosyrelojesdepersonal. Ofrecesistemasdecontrolparaaccesoasectoresrestringidos,registrandolasentradasy salidasdepersonal,ingresodevisitas.Estossistemasdecontrolincluyenequiposbiomtricos, tarjetasinteligentes,lectoresdeproximidad,segnconvengaalcliente. Otracaractersticaofrecidaesladesoftwaredegestindepersonal,conelquesepuede calcularfcilmentelacantidaddehorastrabajadas,ylosmovimientosdelpersonaldentrodela empresa. Mantenimiento. Ofrecenmantenimientodesistemasdevideo,controlesdeaccesos,incendioyalarmas. Seproponentresmodalidadesdemantenimiento:Correctivo,preventivoypredictivo,para instalacionesenlasquelossistemasdeseguridadsoncrticos,consideramosestadsticasde fallapropiasdecadatipodeelementoyambiente.

Propsito.
Espropsitodeestaorganizacinofreceralasociedadserviciosdevanguardiaconprecios altamentecompetitivosgraciasalesfuerzocontinuopormantenerlamsaltaeficienciaen serviciosdecalidad.

Negocio.
Laorganizacinseespecializaenserviciosdeseguridadinformticayelectrnica, aprovechandolamejortecnologaadaptndosealasnecesidadesdelcliente.Estosservicios son Monitoreodealarmas. Videovigilanciaycontrol. Detecciondeintrusion. Deteccindehumo,gasyprevencindefuegoseincendios. Controldeaccesosyrelojesdepersonal. Mantenimiento.

Misin.
Protegerlosbienesdenuestrosclientesderobos,hurtos,eincendiosusandolaltima tecnologa.

Valores.
Seguridad.Laseguridadessunegocio,yessuprincipalvalor. Eficacia.Lasmedidasdeseguridadsonimplementadasentiempoyforma,bajolos criteriosdeaceptacinmantenindoseencontactopermanenteconlosclientes. Eficiencia.Sebuscacumplirconlosobjetivosoptimizandoelusoderecursostanto materialescomohumanos,sincomprometerconesolacalidaddelosproductosylos tiemposdeentrega. Responsabilidad.Elequipodetrabajoesaltamenteresponsable. Confiabilidadyconfidencialidaddelainformacin.

Estructura.
Laestructuraagrandesrasgosdelaorganizacineslasiguiente.

Estructuraporreas. Direccingeneral. Marketing. Ventas. Monitoreodeterminales. Chequeaelestadodevigilanciadelosterminalesquerequierenelmonitoreoyelcontrol brindadoporlosserviciosdemonitoreodealarmas. Operaciones. CoordinalastareasdeinstalacinysoporteOnlineyOnSiteparalosclientes.Esto incluyelaspropiasinstalaciones,mantenimiento,soportetelefnico. DepartamentoTI. Coordinalastareasdeanlisiseinvestigacinydesarrollointernoalaempresa.Se encargadelosdesarrollosnecesariosparadarlugaranuevosproductosyservicios. Tambindasoportealainfraestructuradetecnologainformticadentrodelaempresa. ContaduriayTesoreria. Estructurafuncional. Hayintegrantesdemsdeunreaquerealizanenconjuntoactividadesdeacuerdoafunciones especficas. OperacionesconDepartamentoTI,paracoordinaranlisissobrelasituacindeun clienteenparticular,olaevaluacindeunposiblerequerimientodemantenimiento. MonitoreoyOperaciones.Encasodeverunmalfuncionamientoenunequipoenel cliente,MonitoreodeterminalessecomunicaconOperacionesparamantenerlosal tantodelasituacin.

Estrategia.
Laempresatienecomoestrategiabrindarserviciosyproductoslomseficientementeposible, paradestacarsesobreelrestodelasempresasdesumbitoyascaptarlaatencinde potencialesclientes.

Restricciones.
Restriccionesqueseoriginanenelclimapolticoyeconmico.Encasodedevaluacine inflacin,seavisarconvenientementealclienteelajustedelcostodelservicioqueseleest brindandoenesemomento,conlaopcindedardebajaelserviciosiempreycuandoel serviciotengalospagosaldia. Restriccionesterritoriales.LacoberturadelservicioestlimitadaalterritorioArgentino, provinciadeBsAs.LosserviciosbasadosenGPS,GSMeInternetestnlimitadosporel alcancededichastecnologas. Restriccionesderecursos.Sedisponedeunservidordebackupdedatosdelosclientesy losservicioscontratados,unservidoroperativoparalasconsultasyoperaciones,yunservidor consoftwareespecficoconlonecesarioparamantenerelmonitoreoycontroldelosequipos queformanpartedelosserviciosenlosclientes. Restriccionesdetiempo.Elmonitoreodebeserde24hsamenosqueporalgnmotivoun serviciodadorequieralocontrario.Eltelfonodeemergenciaconsoportedebeestaroperativo las24hs. Restriccionesqueseoriginanenelcalendario.EnlosferiadosdeArgentina,noseatender alpblicoporlocaloporatencinalclientevatelefnica.Lostelfonosdeemergencia trabajaranconnormalidad. Restriccionestcnicas.Dependedelosproveedoresdetecnologascomosonlasconexiones deInternet,coberturadeconexionesmvilesGSMycoberturadeGPS. Restriccionesoperativas.Losequiposqueseencargandelosenlacesyelmonitoreodelos equiposdevigilanciaenlaorganizacindelosclientes,debenestar24hsactivos.Laconexin nodeberaperderseenningnmomento. Restriccionesticas.Todopersonaldebepresentarconocimientostcnicosacordesasu posicin,ysonsometidosaunestudiopsicotecnico. Restriccioneslegales.Confidencialidaddelosdatosotorgadosporlosclientes.

Segunda Parte
Instrucciones: 1. Paralaorganizacinseleccionadaestablezcaloscriteriosdeevaluacin,impactoy aceptacin. 2. Redacteelalcanceyloslmites. 3. Seleccioneunproceso Punto1. Criteriosdeevaluacin. 1. Valorestratgicodelprocesodeinformacindelnegocio. Escrticodentrodelaorganizacinteneruncontrolsobrelainformacindelosclientes ylosactivosquedejanaresguardodelaorganizacin.Sedebeteneraccesorpidoy confiable, Estoesasdebidoaqueesnecesariounaevaluacindelosriesgosdelosactivosdel clientealmomentodeotorgarlosserviciosdeseguridad,aligualquesonnecesariosal momentodeestarvigilandolosymonitoreandolos. 2. Criticidaddelosactivosdeinformacininvolucrados. Criticidaddelosactivosdeinformacin. Passwords,datospersonalesdelosclientes,datosdelostrabajadores monitoreadosparaloscasosdeempresasqueusanlossistemasde seguimiento. Datossensiblesparaloscasosdondeserequieranmantenimientode sistemasexistentes. Servidoresyservidoresdebackupencargadosdemantenerlosdatosde losclientesylosserviciosofrecidos. Equiposdecmputoycomunicacionesqueformanpartedelequipo necesarioparaelmonitoreoypuestaenfuncionamientodelosservicios ofrecidos. Requisitoslegalesyreglamentarios. Leyesdeproteccindedatospersonales. Expectativasypercepcionesdelaspartesinteresadas. Experienciayatencinalcliente.Lasexperienciaspositivasdelos clientesdanalugaraunprestigiomayorquedaunaimagendemayor seguridadyresponsabilidad.Muchasvecesesunfactordeterminante parapoderllegaralosclientes. Responsabilidadyrpidaaccinencasodefallaenalgunodelos servicios.

Criteriosdeimpacto. Prdidadedatosdeclientes. Accesosnoautorizadosadatossensiblessobrelosclientes. Accesosnoautorizadosadocumentacininternasobrelosserviciosotorgados. Prdidadecomunicacinconlosequiposdeseguridadremotos. Criteriosdeaceptacin. Criteriosdelnegocio. Atencionportelefonoconlneasrotativas7X24paracasosdeemergencia,los 365dasdelao. Atencinalclientedelunesaviernesde8hsa18hs.Sabadosmedioda. Operaciones. Seaceptanaquellosriesgosquenoponenenriesgoelservicioyqueno comprometanlaseguridaddelosdatossuministradosporlosclientes. Aspectoslegalesyreglamentarios.

Punto2. Alcance. TerritorioArgentino,provinciadeBsAs. Sistemasdeseguridadhogareos. Sistemasdeseguridadparapymes. Sistemasdecontroldeaccesodepersonasdentrodepymes. Mantenimientodesistemasyaimplementadosporlaempresa. Mantenimientodesistemasdeseguridaddeterceros,sujetoaaprobacinporpartede unanlisistcnicoprevio. Lossistemasanalizadosslocorrespondenalosquetienencomomediode comunicacinInternetpormedioscableados. Lmite.Quedanexcluidos: SistemasdeseguridadcuyomediodecomunicacinseadistintoaInternetcableado. Sistemasdeseguridadempresarialesdegranalcance. Mantenimientodesistemasdeseguridaddemsde15aos. Sistemasdeseguridaddecriticidadextremadamentealta. Sistemasdeseguridadconunpeligrobiologico/quimicoasociado. Sistemasdeseguimientoovigilanciaquenoestnregularizadosovayanencontrade laslegislacionesdehabeasdata.

Punto3. Proceso.Registrodeactividadesdentrodeunapyme.

Proceso. Actividades delproceso

Registrodelasactividadesdelosequiposdentrodeunapyme. Accesoalsistemaremotoinstaladoenlapyme. Revisindelosparametrosdeconexion. Revisindelascamarasydemassubsistemasasociados. Dejarregistrodelasactividadesyparmetrosobservadosenuna bitcoraasociadaalclienteyelservicio.

Proceso.Altadeunnuevosistemademonitoreo. Proceso. Actividades delproceso Pedidodeunnuevosistemadecontroldeaccesodepersonal. Setomalosdatosdelcliente. Setomalosdatosdelpersonalalqueseledarnlastarjetasde acceso. Sedadealtaunnuevopedidoaldepartamentotcnicodeunproducto conlascaractersticasacordadasconelcliente. Seavisaalclientelademoradelanlisis,ycuandoestaralistala evaluacindesupedido. Sicorrespondiera,searreglaunareunindondelostcnicosvisitenel lugardeinstalacinencasoquehagafaltaparaelanlisis.

Proceso. Actividades delproceso

Atencindelpedidodeunnuevosistemadecontroldeaccesodepersonal. Setomalosdatosdelclienteylosdatosdelpedido. Seevalasiestndadaslascondicionesparalainstalacindel serviciosolicitado. Sedadealtaunnuevopedidoaldepartamentotcnicodeunproducto conlascaractersticasacordadasconelcliente. Searreglaunasegundareuninenlaqueseacordaranloshorariosde instalacin. Sicorrespondiera,searreglaunareunindondesecapacitaala personaencargadadelaseguridaddelcliente,paraotorgarlelos conocimientosnecesariosparaelmanejocorrectodelsistema.