PUNTO DE VISTA DE SEGURIDAD
Tareas
1- Identificar
recursos sensibles
2- Definir
políticas se seguridad
3- Identificar
las amenazas del sistema (Árbol de ataque)
4- Diseñar
implementación de seguridad
5- Evaluar
los riesgos.
1- Recursos Sensibles:
Recurso
|
Es
Sensible
|
Área
Encargada
|
Adjudicación de Usuarios
|
Ya que los formularios
son impresos, es más fácil de falsificar y adquirir permisos que no se deben
adquirir.
|
Administrador de usuarios
|
Puertas Abiertas al CPD
|
Fácil acceso de cualquier
persona (No autorizada) al centro de datos
|
Gerente del CPD y de
Tecnología
|
Respaldo de solo datos de
aplicaciones
|
Solo se tiene respaldo de
datos de aplicaciones, mas no del resto de datos que se manejan fuera de
estas.
|
Administrador de Bases de
Datos
|
Personal Humano
|
Pueden ser fácilmente
corrompidos para que manipulen o den información exclusiva de la empresa.
|
Gerente de Área, personal
de tecnología, personal administrativo.
|
Computadores
|
Por tanto uso son
propensos a daños.
|
Gerente y personal de
Tecnología.
|
Discos duros de almacenamiento
|
Propensos a daños y a
pérdida de información.
|
Gerente y personal de
Tecnología.
|
Servidores
|
Propensos a daños y a
pérdida de información.
|
Gerente y personal de
Tecnología.
|
2- Definir políticas se seguridad
Políticas
|
Procedimientos
|
Tareas
a Realizar
|
Proteger y asegurar la
adjudicación de los usuarios para
establecer permisos de aplicaciones y accesos.
|
Realizar solicitud
mediante un ticket generado en una herramienta de Helpdesk y vía mail.
|
Asegurar la autorización
de supervisor y manager del área.
|
Proteger todo el Sistema
de riesgos y amenazas de personas que quieran acceder a él.
|
Crear mecanismos de
seguridad encriptados y seguros contra ataques.
|
Crear algoritmos de
encriptación para procesos con alto riesgo de ser atacados.
Cambiar contraseñas de
cuentas y aplicativos de accesos.
|
Respaldo de datos de
producción y de aplicativos de la
empresa.
|
Hacer back ups a los
datos de los usuarios y empleados de producción y de los aplicativos.
|
Los back ups se harán a
diario.
El respaldo se hará de
doble copia y se guardaran en una caja fuerte ignifuga.
|
Asegurar que información
exclusiva de la empresa no salga de ella y no pare en manos equivocadas.
|
Hacer auditorías internas
y externas a los empleados.
|
Realizar sondeos,
encuestas y auditorias a los empleados que trabajan en la empresa.
|
Mantener Hardware y
Software óptimo y de buena calidad.
|
Hacer mantenimientos y
dar soporte técnico a maquinas y software de la empresa.
|
Limpiar, mejorar maquinas
cambiando piezas dañadas o viejas por nuevas y dar soporte técnico a los
activos de la empresa.
Adquirir buenos hábitos
para el mantenimiento de las maquinas y software.
|
3- Identificar
las amenazas del sistema (Árbol de ataque)
1. Acceso No AUTORIZADO al sistema vía hacking.
1.1.
Perdida
de información. (No Back ups).
1.1.1. Permisos y accesos a aplicaciones no
autorizadas (exceso de permisos por parte de los empleados).
1.1.2. Acceso a información exclusiva de la empresa.
1.2.
Daño de software por hacking o virus.
1.2.1. Daños en hardware por falta de mantenimiento.
1.2.2. Borrado de información y datos en back ups.
(error humano)
4- Diseñar implementación de seguridad.
1. DISPONIBILIDAD:
Para proteger y asegurar la
disponibilidad para que todos los empleados tengan permisos y accesos a aplicativos y a las
diferentes áreas de la empresa se tendrán una persona de tecnología que
monitoreara dichos permisos. Este se encargara de verificar que cada usuario
solo tenga los permisos requeridos y si no los tiene enviara una alerta vía
mail al usuario.
DETECCION Y RECUPERACION:
La persona que se quede
encargada de monitorear los permisos detectara si existe un usuario con mas
permisos de los que necesita y en dado caso se contactara con el usuario y con
el supervisor y manager para validar si realmente los necesita o no.
2. DISPONIBILIDAD:
El área de seguridad y
redes de tecnología se encargaran de mantener el sistema libre de amenazas.
DETECCION Y RECUPERACION:
Mediante herramientas de
software y hardware detectaran ip’s atacantes que quieran afectar el sistema
mediante sondeos programados. Y deshabilitaran y bloquearan dichas ip’s.
3. DISPONIBILIDAD:
La información de back up
guardada estará disponible a la hora que se necesite ya que la caja fuerte se
encuentra guardada localmente en la empresa.
DETECCION Y RECUPERACION:
Debe existir un ingeniero
encargado de los back ups para que guarde la información diaria, y si no se ha
realizado back up por disponibilidad o por tiempo, pedirá refuerzos y ayuda a
otro ingeniero para que lo haga. (Los back ups deben hacerse diarios).
4. DISPONIBILIDAD:
No se permitirán
dispositivos electrónicos dentro de la empresa, asi la información exclusiva de
la empresa se mantendrá únicamente disponible para los usuarios que se
encuentren en el establecimiento. No habrá manera de que roben información.
DETECCION Y RECUPERACION:
Cada empleado tendrá un
casillero para guardar sus objetos electrónicos antes de ingresar al
establecimiento de la empresa.
5. DISPONIBILIDAD:
El hardware y software de
la empresa estará disponible un 90% del tiempo para los empleados. (El otro 10%
será uso exclusivo de mantenimiento y fallas).
DETECCION Y RECUPERACION:
Se hará una inspección del
hardware una vez por semana para evaluar el rendimiento de las maquinas. Y para
el software se hará correcciones y mantenimiento cuando fallen las herramientas
o estén muy lentas.
5 – Evaluar
Riesgos:
Nivel
|
Descriptor
|
Ejemplo
Descripción Detallada.
|
1
|
Critico
|
Perdida Financiera por
fallas masivas en el sistema (500 personas o más)
|
2
|
Urgente
|
Existen fallas masivas
(100 a 500 personas)
|
3
|
Moderado
|
Las fallas son de 10 a
100.
|
4
|
Normal
|
Son de 5 a 10 personas
|
No hay comentarios:
Publicar un comentario