Académique Documents
Professionnel Documents
Culture Documents
AUTORES
Marcel Eduardo León Lafebré.
Evelyn Anabell Mota Orrala.
Joffre Manuel Navarrete Zambrano.
SGSI
Metodología
Magerit ¿?
ESQUEMA DE PROCESOS
PLATAFORMA TECNOLÓGICA DEL SITIO
ALCANCE
Servicio 7 X 24
Justificación
• ISO 27000, controles:
POLÍTICA DE SEGURIDAD
Objetivo y Alcance
Ámbito de la Aplicación
Roles y responsabilidades
Antivirus y anti espías Mc-Afee Profesional versión 4.0 con 200 licencias 2
Activos virtual
Base de datos de los maestros de MA MA MA
cuentas y tarjetas de crédito y débito
Base transaccional de movimientos de MA MA MA
cuentas
Bases históricas MA A MA
Respaldos en cinta A MA MA
Red Local M A A
Edificio Matriz A MA MA
0
1
2
3
4
5
6
Inconvenientes en producción
Acuerdos legales
TRX_BV
Código malicioso
MSG
Paso de virus
IIS
Falla de software
Falla de hardware
SO
Virus
M_BD
Espacio en disco
ANT
Fallas de hardware
apagones de luz
SW_BD
Intrusos
Fallas de hardware
apagones de luz
SW_FE
Intrusos
Fallas de hardware
VALORACIÓN DEL IMPACTO
apagones de luz
SU_BD
Intrusos
Virus
Falsificación de identidades
PCS
impacto
Media
Muy Alto
5
4
3
2
1
Costo de Reposición
Capacidad de Operar
Virus
falla de software
FRW
falla de hardware
Robo de información
BD_CBV
Acceso a información no
debida
FRECUENCIA
Robo de información
BD_TBV
Acceso a información no
debida
Robo de información
BD_MAE
Acceso a información no
debida
FRECUENCIA DE OCURRENCIA DE LAS AMENAZAS
Declaración de Aplicabilidad
Fecha de actualización:
Leyenda (para los controles seleccionados y las razones para la selección de los controles)
2011 Junio 01
RL: Requerimientos legales, OC: obligaciones contractuales, RN/MP: requerimientos de negocio/mejores prácticas adoptadas, RER: resultados de evaluación de
riesgos, TSE: hasta cierto punto
Observacion
Controles Seleccionados y Razones para Observaciones (Vista
Controles es
ISO 27001:2005 Controles Selección general de los objetivos de
Actuales (Justificación
R RN/ implementación)
de exclusión) OC RER
L MP
Política de Seguridad de la
5,1
Información
Organización de
Información
6,1 Organización Interna
Gestión de Compromiso de Controles
6.1.1
Seguridad de la Información existentes
Coordinación de Seguridad de la
6.1.2
Información
Asignación de responsabilidades de
6.1.3
Seguridad de la Información
Proceso de autorización para
6.1.4 Instalaciones de Procesamiento de
Información
Controles
Organización de 6.1.5 Acuerdos de Confidencialidad
existentes
Seguridad de la
6.1.6 Contacto con las Autoridades
Información
Contacto con Grupos de Intereses
6.1.7
Especiales
Revisión Independiente de
6.1.8
Seguridad de la Información
6,2 Partes Externas
Identificación de riesgos Controles
6.2.1
relacionados con Agentes Externos existentes
Controles
6.2.2 Manejo de Seguridad con Clientes
existentes
Manejo de Seguridad en Acuerdos Controles
6.2.3
con Terceros existentes
7.2.1 Clasificación de Directrices
Etiquetado y Manipulación de
7.2.2
la Información
8.1.2 Selección
Términos y Condiciones de
8.1.3
Empleo
8,2 Durante el Empleo
Concientización, educación y
Seguridad de Controles
8.2.2 entrenamiento de la Seguridad
Recursos existentes
de la Información
Humanos
8.2.3 Proceso disciplinario
Finalización o Cambio de
8,3
Empleo
Culminación de
8.3.1
responsabilidades
8.3.2 Devolución de Activos
Permisos de acceso
Políticas de Cuentas
Objetivo Políticas
Medios Autorizados
Monitoreo de la
base de datos
¿QUÉ? ¿CÓMO?
¿PARA QUÉ?
SYBASE Herramientas
Garantizar el
Designar adecuado
SQL
responsabilidades funcionamiento
Correo Electrónico e
Internet
Correo
Tamaño Límite Electrónico Restricción de horarios
e Internet y contenidos
Password
Usuario S.A
Políticas
Usuario de consultas y de Oficial de Seguridad
solo lectura Cuentas
Aplicativos/Actualizaciones
Administradores de Base de Datos
RECOMENDACIONES