SlideShare una empresa de Scribd logo

Seguridad informatica

Descargar como PPTX, PDF
O
Osv511

Uso de OCTAVE

Tecnología
1 de 15
Presentan: Fabian Díaz Martínez - Osvaldo García Mora
A continuación se presenta un análisis de riesgos con la aplicación de la metodología OCTAVE. El nuevo proyecto que se propone para la empresa Restaurantes Elizondo es una “App móvil”. La App móvil de manera inicial proporcionara:  Una interfaz atractiva al usuario y que le proporcione una experiencia nueva con el look and feel.  El cliente para poder comprar productos deberá proporcionar información personal.  Los clientes tendrán acceso a los productos ofrecidos en todo momento 365x7x24.  Tendrá un historial de sus compras, y seguimiento de las mismas por lo que la información deberá ser consistente.  El pago será gestionado por una empresa externa.
Se contemplan los siguientes puntos para poder brindar disponibilidad, integridad y confiabilidad a la información expuesta por la empresa, la aplicación y la del usuario: Identifica los activos principales a proteger evaluar los posibles riesgos de los activos más importantes:  Encontrar las posibles amenazas  Evaluar vulnerabilidades  Evaluar riesgos  Selección de salvaguardas.
 Debido al alcance planteado para este proyecto, la metodología usada para la evaluación del riesgo será OCTAVE Allegro (Operationally Critical Threat, Assets and Vulnerability Evaluation )  OCTAVA Allegro es una metodología para agilizar y optimizar el proceso de evaluación de riesgos de seguridad de información de manera que una organización puede obtener resultados suficientes, con una pequeña inversión de tiempo, la gente, y otros recursos limitados.
Para la metodología escogida objetivo los propósitos son los siguientes.  Identificar los riesgos de la seguridad que pueden impedir el lograr los objetivos de la información.  Enseñar a evaluar los riesgos de la seguridad de la información.  Crear una estrategia de protección con el objetivo de reducir los riesgos de seguridad de la información prioritaria.  Ayudar a la organización a cumplir regulaciones de la seguridad de la información.
Basado en la metodología seleccionada tenemos el siguiente plan. SELECCIONAR UN ENFOQUE DE MITIGACIÓN Determina cuales son las acciones y estrategia a tomar para mitigar el riesgo ANALIZAR RIESGOS Se analiza de forma cualitativa el grado de afectación del incidente IDENTIFICAR RIESGOS Se determina el impacto en la organización si un escenario se materializa IDENTIFICAR ESCENARIOS DE AMENAZA Este se encuentra relacionado al anterior pero quiere decir que no se es posible tenerlos o identificarlos a simple vista o con el mas sentido común IDENTIFICAR ÁREAS DE PREOCUPACIÓN Identifica los escenarios posibles(es decir la posibilidad que se puedan materializar) en los que un evento amenaza nuestros activos. IDENTIFICAR CONTENEDORES DE ACTIVOS DE INFORMACIÓN Describe los repositorios o almacenas de nuestros activos desde su almacenamiento, trasporte y proceso de los mismos DESARROLLAR UN PERFIL DE ACTIVOS DE INFORMACIÓN Razones de selección y descripción de los activos ESTABLECER CRITERIOS DE MEDICIÓN DEL RIESGO Se definen las áreas de impacto de la organización. Basado en la metodología seleccionada tenemos el siguiente plan.
•Este aspecto es uno de los de mayor impacto dentro del sector de servicios principalmente los que tienen que ver con alimentos, ya que aunado a la calidad del producto esta como se siente el cliente al ser atendido. Confianza de los clientes •Este aspecto depende en parte del anterior debido al sector al que se enfoca nuestro negocio a que si nuestra App es afectada por algún incidente la inversión de desarrollo y para soportar este servicio se verá afectado. Financiero •En este aspecto se está sujeto al igual que todos los sectores que manejen información personal como lo es la Ley Federa de Protección de Datos Personales en Procesión de Terceros que dicta en INAI y los reglamentos establecidos por la Procuraduría Federal de consumidor. Multas y penalizaciones legales •Esta se encuentra en responsabilidad del área de TI, ya que al tratarse de una App los enlaces de comunicación al exterior deben encontrarse con la mayor disponibilidad posible.Productividad Siguiendo la metodología planteada se hace la identificación en las siguiente pasos.
•Esta es la aplicación que se alojara en los dispositivos móviles, se considera ya que es un activo que se le otorgara al usuario y no se tendrá el control una vez descargada. App Móvil •Es nuestro gestor de pagos en línea, se encarga de validar y efectuar los pagos de los clientes. Proveedor Gestor de pagos •Provee los enlaces de la aplicación con nuestra base de datos. Servidor de conexión con la App •Es la información que los clientes nos proporcionan para el registro de nuestra App. Datos Personales de los Clientes •Es la descripción de nuestros productos ofrecidos para la compra en la aplicación móvil. Catalogo del Negocio
EXTERNOS INTERNOS DISPOSITIVOS MÓVILES Se encargan de almacenar y ejecutar nuestra aplicación. Adicional a esto las características afectaran el funcionamiento optimo de nuestra App. SERVICIOS DE PAGO Aun que se son proveedores impacta el fallo en sus procesos o disponibilidad; sin embargo para el cliente ve nuestra App como un solo elemento. CLIENTES Al ser dueño de la aplicación y portarla queda expuesta y se pierde el control total del usuario. BASE DE DATOS Es importante el acceso que tendrá nuestra App a ella y el nivel de accesibilidad que se le otorgue. CONECTIVIDAD Este medio contenedor es de gran importancia ya que de esta depende la velocidad con que viajen nuestros datos y si es posible el acceso a ellos SERVIDOR WEB Provee los enlaces que comunican a la aplicación con nuestra red interna.
No. Escenario 1 La sesión App no caduca cuando se deja de usar o se bloque el dispositivo. 2 Se afectaron registros productivos de la base de datos al durante una mejora de la App intercambiando datos de clientes. 3 No se tiene cifrada la contraseña de los usuarios y se encuentra visible para quien consulta la base de datos. 4 El móvil pierde conectividad durante el proceso de pago del pedido realizado y el proceso queda trunco pero no notifica el incidente.
RESULTADOACTOR Defectos de software Divulgación Interrupción Destrucción / pérdida Para la identificación correcta de escenarios se establecen arboles de amenaza de acuerdo a los escenarios del paso anterior(Se puede tener mas de un árbol por escenario, esto según los actores identificados). Escenario 1 RESULTADOMOTIVOACTOR DBA / Desarrollador Deliberado Divulgación Modificación Interrupción Destrucción / pérdida Accidental Modificación Interrupción Destrucción / pérdida Escenario 2 RESULTADOMOTIVOACTOR DBA / Desarrollador Deliberado Divulgación Modificación Interrupción Accidental Modificación Interrupción Escenario 3
ESCENARIO DE AMENAZA CONSECUENCIA Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión Si el cliente descuida su dispositivo móvil se pueden generar pedidos por terceros una vez abierta la aplicación. Acceso sin restricción a la base de datos de forma interna a los desarrolladores y administradores de TI Permite que cualquier usuario pueda realizar modificación de la base de datos, alterando el funcionamiento de la App y plagio de los datos. No encriptación de datos críticos almacenado en la base de datos. Se puede tener acceso a los datos del cliente, como el en el caso de las credenciales para entran a la App. No se asegura el la continuidad de la transacción en los pedidos. Genera perdidas al negocio y los clientes por si se realiza el pedido y no se efectúa el cobro, dando esto como consecuencia el no surtimeinto de pedido. Para la identificación correcta del impacto en la empresa se tiene la siguiente ecuación: Amenaza(condición) + Impacto(consecuencia) = Riesgo
DESCRIPCIÓN VALOR Bajo 1 Medio 2 Alto 3 Analizamos el impacto de forma cuantitativa, el valor para evaluar es subjetivo a cada organización, en este caso se establece solo tres valores de impacto. Riesgo de Activo de Información Amenaza Activo de infromación Datos Personales del cliente Área de Preocupación Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión. Actor App Móvil Medio Problemas técnicos Motivo Accidental Resultado Divulgación x Destrucción x Modificación x Interrupción Requerimientos de seguridad Confidencialidad, integridad Probabilidad Alta x Media Baja Consecuencias Severidad Área de Impacto Prioridad Valor Puntaje Si el cliente descuida su dispositivo móvil se pueden generar pedidos por terceros una vez abierta la aplicación. Reputación y confianza del cliente 5 3 15 Financiera 4 2 8 Productividad 3 2 6 Seguridad y salud 1 1 1 Multas y penas legales 2 1 4 Puntaje relativo del riesgo 32 El valor mas alto se asigna a la prioridad mas importante de la organización. Esto se multiplica por el valor de impacto y se obtiene un puntaje. El valor más bajo que se puede obtener es 15 y el mas alto es 45. DESCRIPCIÓN VALOR Bajo 15-24 Medio 25-34 Alto 35-45
Se establecen en esta metodología las siguientes tres acciones a tomar sobre el riesgo.  Aceptar.- Aceptamos el riesgo sin realizar acción alguna, aceptamos todas las consecuencias que conlleva.  Mitigar.- Se decide efectuar acciones pertinentes para hacer frente al riesgo mediante el desarrollo o implementación de controles para contrarrestar la amenaza o disminuir al mínimo el impacto.  Aplazar.- No se acepta ni se mitiga la amenaza, a consideración de la organización para reunir mas información o realizar un análisis mas profundo. De acuerdo estas acciones se categorizan 4 grupos para mitigar el riesgo y se establece la acción según la siguiente matriz. Por la calificación obtenida 32, le asignamos de una probabilidad media las acciones corresponden al grupo 2. MATRIZ RELATIVA DEL RIESGO PROBABILIDAD CALIFICACIÓN DEL RIESGO 35-45 25-34 15-24 ALTA Grupo 1 Grupo 2 Grupo 3 MEDIA Grupo 2 Grupo 2 Grupo 3 BAJA Grupo 3 Grupo 3 Grupo 4 Grupo Enfoque de mitigación Grupo 1 Mitigar Grupo 2 Mitigar o aplazar Grupo 3 Aplazar o aceptar Grupo 4 aceptar
Mitigación del riesgo: Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión. Basado en el total de la calificación de este riesgo, que acccion se debe tomar? Aceptar Aplazar x Mitigar Para los riesgos que usted decida para mitigar, realice lo siguiente: Contenedor donde se aplicaran los controles ¿Qué controles administrativos, técnicos y físicos le aplicará en este contenedor? ¿Qué riesgo residual todavía sería aceptada por la organización? App Móvil Se modificara el aplicativo para que se realice el desarrollo y se implemente la validación de caducidad de sesión. Una vez clasificado y definiendo la acción a realizar se especifican las operaciones a realizar de acuerdo al siguiente formato.

Recomendados

Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 
Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4elreydearmenia
 

Recomendados

Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
Proyecto sicas sena
Proyecto sicas senaProyecto sicas sena
Proyecto sicas senaDiana Ruiz
 
Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4elreydearmenia
 
Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionGabrielaMartinez728
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacionMaria de Lourdes Castillero
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
María arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMaría arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMary2524
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_01401201014052012
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Administración Del Riesgo Operacional
Administración Del Riesgo OperacionalAdministración Del Riesgo Operacional
Administración Del Riesgo OperacionalJuan Carlos Fernández
 
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docenciaEl uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docenciamirixanat
 
Administrar el almacenamiento de datos
Administrar el almacenamiento de datosAdministrar el almacenamiento de datos
Administrar el almacenamiento de datosmiguel17189
 

Más contenido relacionado

La actualidad más candente

Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionGabrielaMartinez728
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
María arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMaría arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMary2524
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Administración Del Riesgo Operacional
Administración Del Riesgo OperacionalAdministración Del Riesgo Operacional
Administración Del Riesgo OperacionalJuan Carlos Fernández
 

La actualidad más candente (20)

Maria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacionMaria gabriela martinez cantos autoevaluacion
Maria gabriela martinez cantos autoevaluacion
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementación
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
María arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bimMaría arcos auditoriainformatica_i_bim
María arcos auditoriainformatica_i_bim
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICA
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridad
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computo
 
Administración Del Riesgo Operacional
Administración Del Riesgo OperacionalAdministración Del Riesgo Operacional
Administración Del Riesgo Operacional
 

Destacado

El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docenciaEl uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docenciamirixanat
 
Administrar el almacenamiento de datos
Administrar el almacenamiento de datosAdministrar el almacenamiento de datos
Administrar el almacenamiento de datosmiguel17189
 
Gestión estratégica organizaciones tipo EFS
Gestión estratégica organizaciones tipo EFSGestión estratégica organizaciones tipo EFS
Gestión estratégica organizaciones tipo EFScontrolgestionarmada
 
Criptosistemas de cifrado en flujo
Criptosistemas de cifrado en flujoCriptosistemas de cifrado en flujo
Criptosistemas de cifrado en flujoCalzada Meza
 
Fundamentos de computación(ICM) en octave
Fundamentos de computación(ICM) en octaveFundamentos de computación(ICM) en octave
Fundamentos de computación(ICM) en octaveGabriel Romero
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AESElvis Vinda
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Control de Documentos y Registros
Control de Documentos y RegistrosControl de Documentos y Registros
Control de Documentos y RegistrosYerko Bravo
 
Analisis de riesgo informatico con OCTAVE
Analisis de riesgo informatico con OCTAVEAnalisis de riesgo informatico con OCTAVE
Analisis de riesgo informatico con OCTAVEFluidsignal Group S.A.
 

Destacado (14)

El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docenciaEl uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
El uso delportafolioscomoherramienta_para_mejorar_la_calidad_de_la_docencia
 
Administrar el almacenamiento de datos
Administrar el almacenamiento de datosAdministrar el almacenamiento de datos
Administrar el almacenamiento de datos
 
Gestión estratégica organizaciones tipo EFS
Gestión estratégica organizaciones tipo EFSGestión estratégica organizaciones tipo EFS
Gestión estratégica organizaciones tipo EFS
 
Criptosistemas de cifrado en flujo
Criptosistemas de cifrado en flujoCriptosistemas de cifrado en flujo
Criptosistemas de cifrado en flujo
 
Conteo de tráfico
Conteo de tráficoConteo de tráfico
Conteo de tráfico
 
Fundamentos de computación(ICM) en octave
Fundamentos de computación(ICM) en octaveFundamentos de computación(ICM) en octave
Fundamentos de computación(ICM) en octave
 
Sencilla explicación sobre AES
Sencilla explicación sobre AESSencilla explicación sobre AES
Sencilla explicación sobre AES
 
Sistema Financiero Mexicano
Sistema Financiero MexicanoSistema Financiero Mexicano
Sistema Financiero Mexicano
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Control de Documentos y Registros
Control de Documentos y RegistrosControl de Documentos y Registros
Control de Documentos y Registros
 
Sistema financiero mexicano
Sistema financiero mexicanoSistema financiero mexicano
Sistema financiero mexicano
 
Analisis de riesgo informatico con OCTAVE
Analisis de riesgo informatico con OCTAVEAnalisis de riesgo informatico con OCTAVE
Analisis de riesgo informatico con OCTAVE
 
Planeacion financieraalfredomorgados
Planeacion financieraalfredomorgadosPlaneacion financieraalfredomorgados
Planeacion financieraalfredomorgados
 

Similar a Seguridad informatica

Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesFabián Descalzo
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
Software de auditorías legales
Software de auditorías legalesSoftware de auditorías legales
Software de auditorías legalesACTIVO LEGAL
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Proyecto Final Administración de Servidores
Proyecto Final Administración de ServidoresProyecto Final Administración de Servidores
Proyecto Final Administración de ServidoresJuanjoMartinez28
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&nluis villacis
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secureJuan Carlos Carrillo
 
Investigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaInvestigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaJoel Martin
 
COMPAÑIA DE SEGUROS UNIDOS S.A.
COMPAÑIA DE SEGUROS UNIDOS S.A.COMPAÑIA DE SEGUROS UNIDOS S.A.
COMPAÑIA DE SEGUROS UNIDOS S.A.Maritza_Tapia
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Ca riskminder-ds-esn
Ca riskminder-ds-esnCa riskminder-ds-esn
Ca riskminder-ds-esnilat10
 

Similar a Seguridad informatica (20)

Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Evidencia 2 sandra jaramillo
Evidencia 2 sandra jaramilloEvidencia 2 sandra jaramillo
Evidencia 2 sandra jaramillo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Software de auditorías legales
Software de auditorías legalesSoftware de auditorías legales
Software de auditorías legales
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Proyecto Final Administración de Servidores
Proyecto Final Administración de ServidoresProyecto Final Administración de Servidores
Proyecto Final Administración de Servidores
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
 
Trabajo colaborativo 1
Trabajo colaborativo 1Trabajo colaborativo 1
Trabajo colaborativo 1
 
Investigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresaInvestigacion controles de seguridad en mi empresa
Investigacion controles de seguridad en mi empresa
 
COMPAÑIA DE SEGUROS UNIDOS S.A.
COMPAÑIA DE SEGUROS UNIDOS S.A.COMPAÑIA DE SEGUROS UNIDOS S.A.
COMPAÑIA DE SEGUROS UNIDOS S.A.
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Ca riskminder-ds-esn
Ca riskminder-ds-esnCa riskminder-ds-esn
Ca riskminder-ds-esn
 

Último

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 

Último (11)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 

Seguridad informatica

  • 1. Presentan: Fabian Díaz Martínez - Osvaldo García Mora
  • 2. A continuación se presenta un análisis de riesgos con la aplicación de la metodología OCTAVE. El nuevo proyecto que se propone para la empresa Restaurantes Elizondo es una “App móvil”. La App móvil de manera inicial proporcionara:  Una interfaz atractiva al usuario y que le proporcione una experiencia nueva con el look and feel.  El cliente para poder comprar productos deberá proporcionar información personal.  Los clientes tendrán acceso a los productos ofrecidos en todo momento 365x7x24.  Tendrá un historial de sus compras, y seguimiento de las mismas por lo que la información deberá ser consistente.  El pago será gestionado por una empresa externa.
  • 3. Se contemplan los siguientes puntos para poder brindar disponibilidad, integridad y confiabilidad a la información expuesta por la empresa, la aplicación y la del usuario: Identifica los activos principales a proteger evaluar los posibles riesgos de los activos más importantes:  Encontrar las posibles amenazas  Evaluar vulnerabilidades  Evaluar riesgos  Selección de salvaguardas.
  • 4.  Debido al alcance planteado para este proyecto, la metodología usada para la evaluación del riesgo será OCTAVE Allegro (Operationally Critical Threat, Assets and Vulnerability Evaluation )  OCTAVA Allegro es una metodología para agilizar y optimizar el proceso de evaluación de riesgos de seguridad de información de manera que una organización puede obtener resultados suficientes, con una pequeña inversión de tiempo, la gente, y otros recursos limitados.
  • 5. Para la metodología escogida objetivo los propósitos son los siguientes.  Identificar los riesgos de la seguridad que pueden impedir el lograr los objetivos de la información.  Enseñar a evaluar los riesgos de la seguridad de la información.  Crear una estrategia de protección con el objetivo de reducir los riesgos de seguridad de la información prioritaria.  Ayudar a la organización a cumplir regulaciones de la seguridad de la información.
  • 6. Basado en la metodología seleccionada tenemos el siguiente plan. SELECCIONAR UN ENFOQUE DE MITIGACIÓN Determina cuales son las acciones y estrategia a tomar para mitigar el riesgo ANALIZAR RIESGOS Se analiza de forma cualitativa el grado de afectación del incidente IDENTIFICAR RIESGOS Se determina el impacto en la organización si un escenario se materializa IDENTIFICAR ESCENARIOS DE AMENAZA Este se encuentra relacionado al anterior pero quiere decir que no se es posible tenerlos o identificarlos a simple vista o con el mas sentido común IDENTIFICAR ÁREAS DE PREOCUPACIÓN Identifica los escenarios posibles(es decir la posibilidad que se puedan materializar) en los que un evento amenaza nuestros activos. IDENTIFICAR CONTENEDORES DE ACTIVOS DE INFORMACIÓN Describe los repositorios o almacenas de nuestros activos desde su almacenamiento, trasporte y proceso de los mismos DESARROLLAR UN PERFIL DE ACTIVOS DE INFORMACIÓN Razones de selección y descripción de los activos ESTABLECER CRITERIOS DE MEDICIÓN DEL RIESGO Se definen las áreas de impacto de la organización. Basado en la metodología seleccionada tenemos el siguiente plan.
  • 7. •Este aspecto es uno de los de mayor impacto dentro del sector de servicios principalmente los que tienen que ver con alimentos, ya que aunado a la calidad del producto esta como se siente el cliente al ser atendido. Confianza de los clientes •Este aspecto depende en parte del anterior debido al sector al que se enfoca nuestro negocio a que si nuestra App es afectada por algún incidente la inversión de desarrollo y para soportar este servicio se verá afectado. Financiero •En este aspecto se está sujeto al igual que todos los sectores que manejen información personal como lo es la Ley Federa de Protección de Datos Personales en Procesión de Terceros que dicta en INAI y los reglamentos establecidos por la Procuraduría Federal de consumidor. Multas y penalizaciones legales •Esta se encuentra en responsabilidad del área de TI, ya que al tratarse de una App los enlaces de comunicación al exterior deben encontrarse con la mayor disponibilidad posible.Productividad Siguiendo la metodología planteada se hace la identificación en las siguiente pasos.
  • 8. •Esta es la aplicación que se alojara en los dispositivos móviles, se considera ya que es un activo que se le otorgara al usuario y no se tendrá el control una vez descargada. App Móvil •Es nuestro gestor de pagos en línea, se encarga de validar y efectuar los pagos de los clientes. Proveedor Gestor de pagos •Provee los enlaces de la aplicación con nuestra base de datos. Servidor de conexión con la App •Es la información que los clientes nos proporcionan para el registro de nuestra App. Datos Personales de los Clientes •Es la descripción de nuestros productos ofrecidos para la compra en la aplicación móvil. Catalogo del Negocio
  • 9. EXTERNOS INTERNOS DISPOSITIVOS MÓVILES Se encargan de almacenar y ejecutar nuestra aplicación. Adicional a esto las características afectaran el funcionamiento optimo de nuestra App. SERVICIOS DE PAGO Aun que se son proveedores impacta el fallo en sus procesos o disponibilidad; sin embargo para el cliente ve nuestra App como un solo elemento. CLIENTES Al ser dueño de la aplicación y portarla queda expuesta y se pierde el control total del usuario. BASE DE DATOS Es importante el acceso que tendrá nuestra App a ella y el nivel de accesibilidad que se le otorgue. CONECTIVIDAD Este medio contenedor es de gran importancia ya que de esta depende la velocidad con que viajen nuestros datos y si es posible el acceso a ellos SERVIDOR WEB Provee los enlaces que comunican a la aplicación con nuestra red interna.
  • 10. No. Escenario 1 La sesión App no caduca cuando se deja de usar o se bloque el dispositivo. 2 Se afectaron registros productivos de la base de datos al durante una mejora de la App intercambiando datos de clientes. 3 No se tiene cifrada la contraseña de los usuarios y se encuentra visible para quien consulta la base de datos. 4 El móvil pierde conectividad durante el proceso de pago del pedido realizado y el proceso queda trunco pero no notifica el incidente.
  • 11. RESULTADOACTOR Defectos de software Divulgación Interrupción Destrucción / pérdida Para la identificación correcta de escenarios se establecen arboles de amenaza de acuerdo a los escenarios del paso anterior(Se puede tener mas de un árbol por escenario, esto según los actores identificados). Escenario 1 RESULTADOMOTIVOACTOR DBA / Desarrollador Deliberado Divulgación Modificación Interrupción Destrucción / pérdida Accidental Modificación Interrupción Destrucción / pérdida Escenario 2 RESULTADOMOTIVOACTOR DBA / Desarrollador Deliberado Divulgación Modificación Interrupción Accidental Modificación Interrupción Escenario 3
  • 12. ESCENARIO DE AMENAZA CONSECUENCIA Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión Si el cliente descuida su dispositivo móvil se pueden generar pedidos por terceros una vez abierta la aplicación. Acceso sin restricción a la base de datos de forma interna a los desarrolladores y administradores de TI Permite que cualquier usuario pueda realizar modificación de la base de datos, alterando el funcionamiento de la App y plagio de los datos. No encriptación de datos críticos almacenado en la base de datos. Se puede tener acceso a los datos del cliente, como el en el caso de las credenciales para entran a la App. No se asegura el la continuidad de la transacción en los pedidos. Genera perdidas al negocio y los clientes por si se realiza el pedido y no se efectúa el cobro, dando esto como consecuencia el no surtimeinto de pedido. Para la identificación correcta del impacto en la empresa se tiene la siguiente ecuación: Amenaza(condición) + Impacto(consecuencia) = Riesgo
  • 13. DESCRIPCIÓN VALOR Bajo 1 Medio 2 Alto 3 Analizamos el impacto de forma cuantitativa, el valor para evaluar es subjetivo a cada organización, en este caso se establece solo tres valores de impacto. Riesgo de Activo de Información Amenaza Activo de infromación Datos Personales del cliente Área de Preocupación Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión. Actor App Móvil Medio Problemas técnicos Motivo Accidental Resultado Divulgación x Destrucción x Modificación x Interrupción Requerimientos de seguridad Confidencialidad, integridad Probabilidad Alta x Media Baja Consecuencias Severidad Área de Impacto Prioridad Valor Puntaje Si el cliente descuida su dispositivo móvil se pueden generar pedidos por terceros una vez abierta la aplicación. Reputación y confianza del cliente 5 3 15 Financiera 4 2 8 Productividad 3 2 6 Seguridad y salud 1 1 1 Multas y penas legales 2 1 4 Puntaje relativo del riesgo 32 El valor mas alto se asigna a la prioridad mas importante de la organización. Esto se multiplica por el valor de impacto y se obtiene un puntaje. El valor más bajo que se puede obtener es 15 y el mas alto es 45. DESCRIPCIÓN VALOR Bajo 15-24 Medio 25-34 Alto 35-45
  • 14. Se establecen en esta metodología las siguientes tres acciones a tomar sobre el riesgo.  Aceptar.- Aceptamos el riesgo sin realizar acción alguna, aceptamos todas las consecuencias que conlleva.  Mitigar.- Se decide efectuar acciones pertinentes para hacer frente al riesgo mediante el desarrollo o implementación de controles para contrarrestar la amenaza o disminuir al mínimo el impacto.  Aplazar.- No se acepta ni se mitiga la amenaza, a consideración de la organización para reunir mas información o realizar un análisis mas profundo. De acuerdo estas acciones se categorizan 4 grupos para mitigar el riesgo y se establece la acción según la siguiente matriz. Por la calificación obtenida 32, le asignamos de una probabilidad media las acciones corresponden al grupo 2. MATRIZ RELATIVA DEL RIESGO PROBABILIDAD CALIFICACIÓN DEL RIESGO 35-45 25-34 15-24 ALTA Grupo 1 Grupo 2 Grupo 3 MEDIA Grupo 2 Grupo 2 Grupo 3 BAJA Grupo 3 Grupo 3 Grupo 4 Grupo Enfoque de mitigación Grupo 1 Mitigar Grupo 2 Mitigar o aplazar Grupo 3 Aplazar o aceptar Grupo 4 aceptar
  • 15. Mitigación del riesgo: Accesos a la App sin autenticación al momento de salir de la aplicación sin cerrar sesión. Basado en el total de la calificación de este riesgo, que acccion se debe tomar? Aceptar Aplazar x Mitigar Para los riesgos que usted decida para mitigar, realice lo siguiente: Contenedor donde se aplicaran los controles ¿Qué controles administrativos, técnicos y físicos le aplicará en este contenedor? ¿Qué riesgo residual todavía sería aceptada por la organización? App Móvil Se modificara el aplicativo para que se realice el desarrollo y se implemente la validación de caducidad de sesión. Una vez clasificado y definiendo la acción a realizar se especifican las operaciones a realizar de acuerdo al siguiente formato.