SlideShare una empresa de Scribd logo

Dominio 8 grupo 11

Descargar como PPTX, PDF
Alexander Velasque Rimac
Alexander Velasque Rimac
Tecnología
1 de 76
Adquisición, desarrollo y mantenimiento de Sistemas Equipo Nº 11 UNFV – FIIS -2011 Aplicación del Dominio Universidad Nacional Federico Villarreal
Introducción LA INFORMACIÓN ES UN ACTIVO PARA LAS ORGANIZACIONES Y EN CONSECUENCIA REQUIERE UNA PROTECCIÓN ADECUADA, Y DEBIDO AL ACTUAL AMBIENTE CRECIENTE ESTÁ EXPUESTA A UN MAYOR RANGO DE AMENAZAS SIN CONTAR CON LAS DEBILIDADES INHERENTES DE LA MISMA.
EMPRESA Nombre “GACH INGENIERIA SAC” GG: Ing. César A. Cuyutupa Calixto RUBRO: Suministros, proyectos y ejecución de obras de ingeniería eléctrica
SITUACIÓN ACTUAL GENERAL Área de TI : No cuenta con un área específica Servidores : No cuenta con alguno Intranet : No Dominio propio Correo corporativo
SITUACIÓN ACTUAL Hardware 5 pc’s para uso de empleados (contador, logístico y desarrollo) 2 pc´s de uso gerencial Red Lan
SITUACIÓN ACTUAL Software ,[object Object]
Entorno Windows, Office, Outlook
De desarrollo, AutoCad,[object Object]
SITUACIÓN ACTUAL Gestión de la Información Jerarquizada Acceso a la información jerarquizada (Desde arriba hacia abajo) en caso de la gerencia. Bajo permisos de la gerencia vía correo Compartir información por redes, y por correo interno Control de contenido y por usuario.
SITUACIÓN ACTUAL Gestión de la Información ,[object Object]
Backups cada 2 meses en discos duros externos,[object Object]
dominio 8 Adquisición, desarrollo y mantenimiento de Sistemas
Adquisición, desarrollo y mantenimiento de Sistemas En esta cláusula o dominio se menciona seis categorías de seguridad, las cuales se ramifican en sub-categorías
Descripción Actual: La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene conocimientos de la necesidad de implementar aplicaciones que le permita la gestión de la contabilidad, del inventariado
Descripción Actual: Por lo tanto la aplicación de este dominio en lo referente a la primera parte no es factible, debido a la ausencia de desarrollo, pero la empresa si adquiere paquetes de trabajo, y cuenta con software existente.
Aplicaciones Actuales Aplicaciones de Seguridad ANTIVIRUS
McAfee Antivirus Plus. Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías.
Bit Defender 2010. Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador, también erradica spyware e intercepta intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en busca de vulnerabilidades. Aplicaciones de Diseño
AutoCAD. Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.
GCAD 3D. Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño
Aplicaciones Actuales Aplicaciones de Escritorio
Suite Office 2010. Conjunto de aplicaciones con los cuales la empresa realiza sus actividades. Aplicaciones incluidas  Microsoft Access 2010  Microsoft Excel 2010  Microsoft OneNote 2010  Microsoft Outlook 2010  Microsoft PowerPoint 2010  Microsoft Publisher 2010  Microsoft Word 2010  Microsoft Visio 2010  Microsoft Project 2010
Windows 7 Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.
Aplicaciones y herramientas secundarias (Winrar, Adobe Reader, etc.)
Categorías del Dominio a implementar: 1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
IMPLEMENTACIÓN DE LA CATEGORIA: Requisitos de Seguridad de los Sistemas GACH INGENIERIA S.A.C Objetivo Requisitos de la seguridad de los Sistemas de Información
Antivirus. Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debido a que sus configuraciones están por defectos, es así que tienen amenaza potencial en cuanto a seguridad informática, producto de la vulnerabilidad innata de las configuraciones predeterminadas.
Lista de Actividades FASE I. Recopilación y Registro.
Identificar la forma en la cual se gestiona la información. Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información
Identificar los recursos físicos con los cuales cada área dispone. Listar las vulnerabilidades existentes en cuanto al manejo de la información. Listar vulnerabilidades inherentes en la información que se transmite o accede.
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes. Registrar los requerimientos de seguridad de los interesados. Registrar las vulnerabilidades de las actuales aplicaciones. Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes. Registrar los requerimientos de seguridad de los interesados. Registrar las vulnerabilidades de las actuales aplicaciones. Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.
FASE II. Implementación
1. Configurar las aplicaciones existentes de acuerdo a los requisitos de seguridad registrados.
2. Elaborar un documento en el cual se detalla las especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben considerarse en la adquisición de nuevos paquetes de software o aplicaciones.
3. Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.
FASE III. Seguimiento y control
Seguimiento y control Realizar un seguimiento periódico para determinar si la implementación ha sido satisfactoria, para ello se utilizaría las siguientes métricas:
Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).
Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
Recomendaciones
Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobación de los requisitos de seguridad que surjan. Debido que si son realmente responsables de proteger sus activos, es en interés suyo hacerlo de una manera correcta
Recomendaciones Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP
2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA
IMPLEMENTACIÓN DE LA CATEGORIA: Seguridad de las Aplicaciones del Sistema GACH INGENIERIA S.A.C Objetivo Procesamiento correcto en las aplicaciones Implementación.
La empresa en mención si bien tiene un área de desarrollo, esta se orienta al proceso de negocio en sí, es decir la elaboración de planos de instalaciones eléctricas y cableado estructurado. Debido a la inexistencia de un área propiamente al desarrollo de aplicaciones para la empresa en sí no es factible la aplicabilidad de esta categoría del dominio en mención.
Recomendaciones: Para la implementación de este dominio siempre que sea posible, debemos utilizar librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc.
Para mayor confianza con datos vitales, debemos construir e implementar funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control).
Se debe usar herramientas de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc.
3. Controles Criptográficos Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
IMPLEMENTACIÓN DE LA CATEGORIA: Controles Criptográficos GACH INGENIERIA S.A.C Objetivo Proteger la confidencialidad autenticidad o integridad de la información.
Implementación. El personal de la empresa GACH Ingeniería si bien posee contraseñas y/o passwords estos son referente a cuanto sus cuentas de correo electrónico e inicio de sesión en su respectivo ordenador, claro está que por eso se va a descuidar o prescindir del uso de las mismas.
La implementación de encriptación de datos en la rede se dará por medio de un router administrable, con el cual se implementaran protocolos de encriptación como los que poseen: OSFP RIP v2 EIGRP Para las conexiones remotas se darán a través de VPN, las cuales se pueden adquirir por medio del ISP local.
4. Controles del Software en producción. Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
IMPLEMENTACIÓN DE LA CATEGORIA: Controles del Software en producción GACH INGENIERIA S.A.C Objetivo Proteger la confidencialidad autenticidad o integridad de la información.
Implementación La empresa GACH Ingeniería cuenta con software de diseño, con el cual realiza sus actividades, si bien la mayoría de software que utiliza son comerciales, estos son adquiridos directamente de los proveedores, cabe destacar que la empresa cuenta con licencia para la utilización de las mismas.
La implementación seria formalizar la adquisición de software, para su control en producción, considerando que el software original otorga al usuario la ventaja de saber que se encuentra libre de virus y otras amenazas.
También le otorga al comprador en este caso la empresa GACH Ingeniería la ventaja de saber que el programa en cuestión no afectará su computadora de ninguna forma, por el contrario, la hará más productiva, funcional, dependiendo de lo que el software deba realizar
5. Seguridad en los procesos de desarrollo y Soporte Objetivo. Mantener la seguridad del software de aplicación y la información.
IMPLEMENTACIÓN DE LA CATEGORIA: Seguridad en los procesos de desarrollo y Soporte GACH INGENIERIA S.A.C Objetivo Mantener la seguridad del software de aplicación y la información. Implementación No impresentable debido a que la empresa en mención no posee un área de desarrollo de aplicaciones ni terciariza este proceso.
6. Control de las vulnerabilidades técnicas. Objetivo. Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas.
IMPLEMENTACIÓN DE LA CATEGORIA: Control de las vulnerabilidades técnicas GACH INGENIERIA S.A.C Objetivo Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas
Implementación La empresa cuenta con diversos aplicativos, los cuales deben estar constantemente actualizados, debido de que esta manera estamos minimizando las vulnerabilidades de los sistemas.
Se debe hacer seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evaluando la relevancia y criticidad o urgencia de los parches en su entorno tecnológico.
Otras aspectos a considerar en cuanto se refiere a seguridad de la información
Punto de vista actual Ya que la empresa actualmente se encuentra en un buen índice de crecimiento, se le puede considerar tome los siguientes puntos acerca de su seguridad para que así pueda ser esta mucho mas confiable y segura a la hora de trabajarla.
ÁREA DE TI El área Seguridad entrega niveles de validación, generación e implantación de políticas y normas para el buen cumplimiento y aseguramiento de la información. 
POLÍTICAS DE SEGURIDAD Como actualmente los usuarios no cuentan con una política formal o control de información se sugiere poner la disposición de la información con un mayor control sobre ella
FIREWALLS Y ANTIVIRUS En la actualidad la empresa ha sufrido varios daños hacia sus ordenadores, software, etc por virus traídos mediante medios extraíbles y descargas en internet, así como por spam.
SOFTWARE DE CONTROL Y PREVENCIÓN DE RIESGOS Por el poco control y seguridad que se tiene actualmente en la empresa, el personal pierde productividad al acceder a sitios no autorizados libremente (FACEBOOK, TWITTER, YOUTUBE, ETC)
COPIAS DE SEGURIDAD Como la empresa actualmente crea una copia de seguridad cada mes en discos externos y de forma manual, se recomienda el uso de programas que realizan esta acción automáticamente en un menor tiempo al actual.
Conclusiones  La empresa GACH Ingeniería no cuenta actualmente con una política de seguridad, tampoco con dispositivos adecuados para la protección de la data.  El dominio en aplicación consta de 6 categorías, las cuales no todas han sido aplicadas en la empresa en mención, debido a las características y requisitos de seguridad de las mismas.  Existen algunas categorías del dominio de Adquisición, desarrollo y mantenimiento de sistemas que dependen de la aplicación de otros dominios de la norma NTP/ISO 17799-2007  La implementación de la presente no garantiza una total seguridad en cuanto a la accesibilidad, integración y disponibilidad de la información, debido a que es parte de un conjunto de dominios cuyo ámbito de aplicación es en algunos casos especifico en la organización.
Recomendaciones  El funcionamiento correcto de un proceso de gestión de vulnerabilidades técnicas de una organización es crítico para muchas organizaciones y por lo tanto debe ser monitoreado.  Si no es posible realizar un prueba adecuada para los parches debido al costo o la falta de recursos, se puede considerar una demora en el parchado, para evaluar los riesgos asociados.  Las buenas prácticas incluyen la prueba de un nuevo software en un ambiente segregado de los ambientes de producción y desarrollo.  Los sistemas operativos solo deben ser actualizados cuando exista un requerimiento para realizarlo, estas no deben ser realizadas solo porque exista una nueva versión.  Se recomienda consultar estándares nacionales e internacionales como guía para el diseño, implementación, seguimiento y control de mecanismos y/o sistemas de seguridad de la información.

Recomendados

Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Security
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Proyecto final crs
Proyecto final crsProyecto final crs
Proyecto final crsjhomera
 
Mrlooquer Rating
Mrlooquer RatingMrlooquer Rating
Mrlooquer RatingRafael Sánchez Gómez
 

Recomendados

Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security - Presentación Adaptive Defense 360
Panda Security - Presentación Adaptive Defense 360Panda Security
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Panda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Adaptive Defense - La evolución del malware
Panda Adaptive Defense - La evolución del malwarePanda Security
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datosLeonel Ibarra
 
Proyecto final crs
Proyecto final crsProyecto final crs
Proyecto final crsjhomera
 
Mrlooquer Rating
Mrlooquer RatingMrlooquer Rating
Mrlooquer RatingRafael Sánchez Gómez
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsAurelio Yesquen Aragon
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redesCarlos M. Sandoval
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochureJuan Francisco Rivas Figueroa
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3Carlos Andres Perez Cabrales
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
Informe Campus Party 2013
Informe Campus Party 2013Informe Campus Party 2013
Informe Campus Party 2013Carolina Remache
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
HackWeb
HackWebHackWeb
HackWebCarlos Eduardo Sanchez Martinez
 
Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013Daniel Choqque Ccanahuiri
 
Presentación
PresentaciónPresentación
PresentaciónOrdelisdelgado
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 
Vulnerabilidades y soluciones
Vulnerabilidades y solucionesVulnerabilidades y soluciones
Vulnerabilidades y solucionesCarlos Andres Perez Cabrales
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 

Más contenido relacionado

La actualidad más candente

Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)Leonel Ibarra
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013Daniel Choqque Ccanahuiri
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosJoan Figueras Tugas
 

La actualidad más candente (20)

Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive Defense
 
Proyecto final crs (1)
Proyecto final crs (1)Proyecto final crs (1)
Proyecto final crs (1)
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crs
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redes
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Informe Campus Party 2013
Informe Campus Party 2013Informe Campus Party 2013
Informe Campus Party 2013
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
HackWeb
HackWebHackWeb
HackWeb
 
Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013Plan 10437 informe_adquisicion_antivirus_2013
Plan 10437 informe_adquisicion_antivirus_2013
 
Presentación
PresentaciónPresentación
Presentación
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
 
Prevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de AbogadosPrevención de Fugas de Información en Despachos de Abogados
Prevención de Fugas de Información en Despachos de Abogados
 
Vulnerabilidades y soluciones
Vulnerabilidades y solucionesVulnerabilidades y soluciones
Vulnerabilidades y soluciones
 

Similar a Dominio 8 grupo 11

auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
Cumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúCumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúAranda Software
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúRose Rincon
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redMonica Acevedo
 
Area de auditoria de informatica
Area de auditoria de informaticaArea de auditoria de informatica
Area de auditoria de informaticaMigdalys29
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzuryessidmanzur
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 

Similar a Dominio 8 grupo 11 (20)

auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Cumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúCumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-Perú
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-Perú
 
Practica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la redPractica 3 - Arquitectura de seguridad en la red
Practica 3 - Arquitectura de seguridad en la red
 
Firewall palo alto
Firewall palo altoFirewall palo alto
Firewall palo alto
 
Security
SecuritySecurity
Security
 
Palo alto networks
Palo alto networksPalo alto networks
Palo alto networks
 
Area de auditoria de informatica
Area de auditoria de informaticaArea de auditoria de informatica
Area de auditoria de informatica
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzur
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 

Más de Alexander Velasque Rimac

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Último

_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)JuanStevenTrujilloCh
 

Último (20)

_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)Análisis de los artefactos (nintendo NES)
Análisis de los artefactos (nintendo NES)
 

Dominio 8 grupo 11

  • 1. Adquisición, desarrollo y mantenimiento de Sistemas Equipo Nº 11 UNFV – FIIS -2011 Aplicación del Dominio Universidad Nacional Federico Villarreal
  • 2. Introducción LA INFORMACIÓN ES UN ACTIVO PARA LAS ORGANIZACIONES Y EN CONSECUENCIA REQUIERE UNA PROTECCIÓN ADECUADA, Y DEBIDO AL ACTUAL AMBIENTE CRECIENTE ESTÁ EXPUESTA A UN MAYOR RANGO DE AMENAZAS SIN CONTAR CON LAS DEBILIDADES INHERENTES DE LA MISMA.
  • 3. EMPRESA Nombre “GACH INGENIERIA SAC” GG: Ing. César A. Cuyutupa Calixto RUBRO: Suministros, proyectos y ejecución de obras de ingeniería eléctrica
  • 4. SITUACIÓN ACTUAL GENERAL Área de TI : No cuenta con un área específica Servidores : No cuenta con alguno Intranet : No Dominio propio Correo corporativo
  • 5. SITUACIÓN ACTUAL Hardware 5 pc’s para uso de empleados (contador, logístico y desarrollo) 2 pc´s de uso gerencial Red Lan
  • 6.
  • 8.
  • 9. SITUACIÓN ACTUAL Gestión de la Información Jerarquizada Acceso a la información jerarquizada (Desde arriba hacia abajo) en caso de la gerencia. Bajo permisos de la gerencia vía correo Compartir información por redes, y por correo interno Control de contenido y por usuario.
  • 10.
  • 11.
  • 12. dominio 8 Adquisición, desarrollo y mantenimiento de Sistemas
  • 13. Adquisición, desarrollo y mantenimiento de Sistemas En esta cláusula o dominio se menciona seis categorías de seguridad, las cuales se ramifican en sub-categorías
  • 14.
  • 15. Descripción Actual: La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene conocimientos de la necesidad de implementar aplicaciones que le permita la gestión de la contabilidad, del inventariado
  • 16. Descripción Actual: Por lo tanto la aplicación de este dominio en lo referente a la primera parte no es factible, debido a la ausencia de desarrollo, pero la empresa si adquiere paquetes de trabajo, y cuenta con software existente.
  • 17. Aplicaciones Actuales Aplicaciones de Seguridad ANTIVIRUS
  • 18. McAfee Antivirus Plus. Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías.
  • 19. Bit Defender 2010. Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador, también erradica spyware e intercepta intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en busca de vulnerabilidades. Aplicaciones de Diseño
  • 20. AutoCAD. Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.
  • 21. GCAD 3D. Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño
  • 23. Suite Office 2010. Conjunto de aplicaciones con los cuales la empresa realiza sus actividades. Aplicaciones incluidas  Microsoft Access 2010  Microsoft Excel 2010  Microsoft OneNote 2010  Microsoft Outlook 2010  Microsoft PowerPoint 2010  Microsoft Publisher 2010  Microsoft Word 2010  Microsoft Visio 2010  Microsoft Project 2010
  • 24. Windows 7 Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.
  • 25. Aplicaciones y herramientas secundarias (Winrar, Adobe Reader, etc.)
  • 26. Categorías del Dominio a implementar: 1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
  • 27. 1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
  • 28. IMPLEMENTACIÓN DE LA CATEGORIA: Requisitos de Seguridad de los Sistemas GACH INGENIERIA S.A.C Objetivo Requisitos de la seguridad de los Sistemas de Información
  • 29. Antivirus. Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debido a que sus configuraciones están por defectos, es así que tienen amenaza potencial en cuanto a seguridad informática, producto de la vulnerabilidad innata de las configuraciones predeterminadas.
  • 30. Lista de Actividades FASE I. Recopilación y Registro.
  • 31. Identificar la forma en la cual se gestiona la información. Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información
  • 32. Identificar los recursos físicos con los cuales cada área dispone. Listar las vulnerabilidades existentes en cuanto al manejo de la información. Listar vulnerabilidades inherentes en la información que se transmite o accede.
  • 33. Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes. Registrar los requerimientos de seguridad de los interesados. Registrar las vulnerabilidades de las actuales aplicaciones. Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
  • 34. Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes. Registrar los requerimientos de seguridad de los interesados. Registrar las vulnerabilidades de las actuales aplicaciones. Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
  • 35. Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.
  • 37. 1. Configurar las aplicaciones existentes de acuerdo a los requisitos de seguridad registrados.
  • 38. 2. Elaborar un documento en el cual se detalla las especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben considerarse en la adquisición de nuevos paquetes de software o aplicaciones.
  • 39. 3. Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.
  • 40. FASE III. Seguimiento y control
  • 41. Seguimiento y control Realizar un seguimiento periódico para determinar si la implementación ha sido satisfactoria, para ello se utilizaría las siguientes métricas:
  • 42. Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).
  • 43. Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
  • 45. Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobación de los requisitos de seguridad que surjan. Debido que si son realmente responsables de proteger sus activos, es en interés suyo hacerlo de una manera correcta
  • 46. Recomendaciones Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP
  • 47. 2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA
  • 48. IMPLEMENTACIÓN DE LA CATEGORIA: Seguridad de las Aplicaciones del Sistema GACH INGENIERIA S.A.C Objetivo Procesamiento correcto en las aplicaciones Implementación.
  • 49. La empresa en mención si bien tiene un área de desarrollo, esta se orienta al proceso de negocio en sí, es decir la elaboración de planos de instalaciones eléctricas y cableado estructurado. Debido a la inexistencia de un área propiamente al desarrollo de aplicaciones para la empresa en sí no es factible la aplicabilidad de esta categoría del dominio en mención.
  • 50. Recomendaciones: Para la implementación de este dominio siempre que sea posible, debemos utilizar librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc.
  • 51. Para mayor confianza con datos vitales, debemos construir e implementar funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control).
  • 52. Se debe usar herramientas de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc.
  • 53. 3. Controles Criptográficos Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
  • 54. IMPLEMENTACIÓN DE LA CATEGORIA: Controles Criptográficos GACH INGENIERIA S.A.C Objetivo Proteger la confidencialidad autenticidad o integridad de la información.
  • 55. Implementación. El personal de la empresa GACH Ingeniería si bien posee contraseñas y/o passwords estos son referente a cuanto sus cuentas de correo electrónico e inicio de sesión en su respectivo ordenador, claro está que por eso se va a descuidar o prescindir del uso de las mismas.
  • 56. La implementación de encriptación de datos en la rede se dará por medio de un router administrable, con el cual se implementaran protocolos de encriptación como los que poseen: OSFP RIP v2 EIGRP Para las conexiones remotas se darán a través de VPN, las cuales se pueden adquirir por medio del ISP local.
  • 57. 4. Controles del Software en producción. Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
  • 58. IMPLEMENTACIÓN DE LA CATEGORIA: Controles del Software en producción GACH INGENIERIA S.A.C Objetivo Proteger la confidencialidad autenticidad o integridad de la información.
  • 59. Implementación La empresa GACH Ingeniería cuenta con software de diseño, con el cual realiza sus actividades, si bien la mayoría de software que utiliza son comerciales, estos son adquiridos directamente de los proveedores, cabe destacar que la empresa cuenta con licencia para la utilización de las mismas.
  • 60. La implementación seria formalizar la adquisición de software, para su control en producción, considerando que el software original otorga al usuario la ventaja de saber que se encuentra libre de virus y otras amenazas.
  • 61. También le otorga al comprador en este caso la empresa GACH Ingeniería la ventaja de saber que el programa en cuestión no afectará su computadora de ninguna forma, por el contrario, la hará más productiva, funcional, dependiendo de lo que el software deba realizar
  • 62. 5. Seguridad en los procesos de desarrollo y Soporte Objetivo. Mantener la seguridad del software de aplicación y la información.
  • 63. IMPLEMENTACIÓN DE LA CATEGORIA: Seguridad en los procesos de desarrollo y Soporte GACH INGENIERIA S.A.C Objetivo Mantener la seguridad del software de aplicación y la información. Implementación No impresentable debido a que la empresa en mención no posee un área de desarrollo de aplicaciones ni terciariza este proceso.
  • 64. 6. Control de las vulnerabilidades técnicas. Objetivo. Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas.
  • 65. IMPLEMENTACIÓN DE LA CATEGORIA: Control de las vulnerabilidades técnicas GACH INGENIERIA S.A.C Objetivo Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas
  • 66. Implementación La empresa cuenta con diversos aplicativos, los cuales deben estar constantemente actualizados, debido de que esta manera estamos minimizando las vulnerabilidades de los sistemas.
  • 67. Se debe hacer seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evaluando la relevancia y criticidad o urgencia de los parches en su entorno tecnológico.
  • 68. Otras aspectos a considerar en cuanto se refiere a seguridad de la información
  • 69. Punto de vista actual Ya que la empresa actualmente se encuentra en un buen índice de crecimiento, se le puede considerar tome los siguientes puntos acerca de su seguridad para que así pueda ser esta mucho mas confiable y segura a la hora de trabajarla.
  • 70. ÁREA DE TI El área Seguridad entrega niveles de validación, generación e implantación de políticas y normas para el buen cumplimiento y aseguramiento de la información. 
  • 71. POLÍTICAS DE SEGURIDAD Como actualmente los usuarios no cuentan con una política formal o control de información se sugiere poner la disposición de la información con un mayor control sobre ella
  • 72. FIREWALLS Y ANTIVIRUS En la actualidad la empresa ha sufrido varios daños hacia sus ordenadores, software, etc por virus traídos mediante medios extraíbles y descargas en internet, así como por spam.
  • 73. SOFTWARE DE CONTROL Y PREVENCIÓN DE RIESGOS Por el poco control y seguridad que se tiene actualmente en la empresa, el personal pierde productividad al acceder a sitios no autorizados libremente (FACEBOOK, TWITTER, YOUTUBE, ETC)
  • 74. COPIAS DE SEGURIDAD Como la empresa actualmente crea una copia de seguridad cada mes en discos externos y de forma manual, se recomienda el uso de programas que realizan esta acción automáticamente en un menor tiempo al actual.
  • 75. Conclusiones  La empresa GACH Ingeniería no cuenta actualmente con una política de seguridad, tampoco con dispositivos adecuados para la protección de la data.  El dominio en aplicación consta de 6 categorías, las cuales no todas han sido aplicadas en la empresa en mención, debido a las características y requisitos de seguridad de las mismas.  Existen algunas categorías del dominio de Adquisición, desarrollo y mantenimiento de sistemas que dependen de la aplicación de otros dominios de la norma NTP/ISO 17799-2007  La implementación de la presente no garantiza una total seguridad en cuanto a la accesibilidad, integración y disponibilidad de la información, debido a que es parte de un conjunto de dominios cuyo ámbito de aplicación es en algunos casos especifico en la organización.
  • 76. Recomendaciones  El funcionamiento correcto de un proceso de gestión de vulnerabilidades técnicas de una organización es crítico para muchas organizaciones y por lo tanto debe ser monitoreado.  Si no es posible realizar un prueba adecuada para los parches debido al costo o la falta de recursos, se puede considerar una demora en el parchado, para evaluar los riesgos asociados.  Las buenas prácticas incluyen la prueba de un nuevo software en un ambiente segregado de los ambientes de producción y desarrollo.  Los sistemas operativos solo deben ser actualizados cuando exista un requerimiento para realizarlo, estas no deben ser realizadas solo porque exista una nueva versión.  Se recomienda consultar estándares nacionales e internacionales como guía para el diseño, implementación, seguimiento y control de mecanismos y/o sistemas de seguridad de la información.
  • 77. FIN DE LA PRESENTACIÓN