martes, 13 de noviembre de 2012


NATALIA PINEDA     CÓDIGO. 624388                                                                                           JOHN MONROY        CÓDIGO. 624628


CASO DE ESTUDIO PUNTO DE VISTA DE LA SEGURIDAD
    1.    Identificar recursos sensibles

Recurso
Es sensible
Área encargada
Personal de la empresa
Pueden ser incitados a cambian y a efectuar manipulación de la información
Área de recursos humanos, gerente personal
Computadores
Pueden tener fallas en el momento del registro de la información
Área de tecnología y soporte técnico
Servidores
Perdida de información
Área de tecnología y soporte técnico
Respaldo de información
Pueden surgir perdidas de información de los diferentes equipos y servidores
Motor de base de datos, control de versiones, repositorio

    2.    Definir políticas se seguridad
  •  Los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
  • Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
  • Los activos de información son objeto de clasificación,   y se llevan registros de las copias generadas  de aquellos catalogados como confidenciales.
  • Es   fiable   el   contenido   de   los   activos   de   información   que conserven la  confidencialidad, integridad, disponibilidad, autenticidad y legalidad
  • Realizar una copia de seguridad de los cambios que se generan en el sistema
  • Medir y analizar las dimensiones del cambio del sistema y las consecuencias que estos van a generar entre los componentes del sistema y los usuarios que hacen uso de este.
  • Llevar a cabo un completo análisis de los riesgos y las amenazas que van a ser generadas al llevar a cabo cambios de diferentes tipos en el sistema, ya sean cambios tecnológicos, de personal, de tiempo, económicos, etc.
  • Evaluar la complejidad del desarrollo y de los cambios necesarios y pertinentes en el sistema.
    3.    Identificar las amenazas del sistema (Árbol de ataque)


      1. Ingreso al servidor de la base de datos sin autenticación
      1.1. Obtención de información del sistema
      1.1.1. Robo de usuario y contraseña de una persona autorizada
      1.1.2. Acceso a información exclusiva de los empleados
      1.2. Daño de servidores
      1.2.1. Intrusión de virus en los servidores y bases de datos
      1.2.2. Caída de un servidor cuando se hace back up

    4.    Diseñar implementación de seguridad
  • Actualizaciones de la tecnología manejada por los servidores
  • Cambio de las contraseñas manejadas por los usuarios autorizadas en el acceso del sistema y de la información
  • Realizar controles de cambios y versiones al menos semanalmente para gestionar los cambios realizados en el sistema
  • Realizar copias de seguridad de la información
  • Manejar un repositorio para mantener copias de la información en caso de pérdida de la información en los servidores o en el motor de base de datos


    5.    Evaluar los riesgos

Nivel
Descriptor
Descripción detallada
1
Urgente
Perdida de información
2
Critico
Fallas del servidor
3
Normal
Daño en un equipo
4
Moderado
No autenticación de un usuario autorizado







Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)