Adquisición, desarrollo y mantenimiento de Sistemas<br />Equipo Nº 11<br />UNFV – FIIS -2011<br />Aplicación del Dominio<b...
Introducción<br />LA INFORMACIÓN ES UN ACTIVO PARA LAS ORGANIZACIONES Y EN CONSECUENCIA REQUIERE UNA PROTECCIÓN ADECUADA, ...
EMPRESA<br />Nombre<br />“GACH INGENIERIA SAC”<br />GG:<br />Ing. César A. Cuyutupa Calixto<br />RUBRO:<br />   Suministro...
SITUACIÓN ACTUAL<br />GENERAL<br />Área de TI : No cuenta con un área                 		específica <br />Servidores : No c...
SITUACIÓN ACTUAL<br />Hardware<br />5 pc’s para uso de empleados (contador, logístico y desarrollo)<br />2 pc´s de uso ger...
SITUACIÓN ACTUAL<br />Software<br /><ul><li>De seguridad, antivirus McAffee
Entorno Windows, Office, Outlook
De desarrollo, AutoCad</li></li></ul><li>SITUACIÓN ACTUAL<br />Infraestructura<br />Lugar especifico para  las áreas conta...
SITUACIÓN ACTUAL<br />Gestión de la Información<br />Jerarquizada<br />Acceso a la información jerarquizada (Desde arriba ...
SITUACIÓN ACTUAL<br />Gestión de la Información<br /><ul><li>Base de datos en Excel
Backups cada 2 meses en discos duros externos</li></li></ul><li>SITUACIÓN ACTUAL<br />Gestión de la Información<br />
dominio 8<br />Adquisición, desarrollo y mantenimiento de Sistemas<br />
Adquisición, desarrollo y mantenimiento de Sistemas<br />En esta cláusula o dominio se menciona seis categorías de segurid...
Descripción Actual:<br />La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene con...
Descripción Actual:<br />Por lo tanto la aplicación de este dominio en lo referente  a la primera parte no es factible, de...
Aplicaciones Actuales<br />Aplicaciones de Seguridad<br />ANTIVIRUS<br />
McAfee Antivirus Plus.<br />Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incl...
Bit Defender 2010.<br />Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador,  ta...
AutoCAD.<br />Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/...
GCAD 3D.<br />Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño<br />
Aplicaciones Actuales<br />Aplicaciones de Escritorio<br />
Suite Office 2010.<br />Conjunto de aplicaciones con los cuales la empresa realiza sus actividades.<br />Aplicaciones incl...
Windows 7<br />Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corpo...
Aplicaciones y herramientas secundarias<br />(Winrar, Adobe Reader, etc.)<br />
Categorías del Dominio a implementar:<br />1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS<br />
1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS<br />
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Requisitos de Seguridad de los Sistemas<br />GACH INGENIERIA S.A.C<br />Objetivo<br ...
Antivirus.<br />Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debid...
Lista de Actividades <br />FASE I. Recopilación y Registro.<br />
Identificar la forma en la cual se gestiona la información.<br />Identificar las características de cada área en cuanto a ...
Identificar los recursos físicos con los cuales cada área dispone.<br />Listar las vulnerabilidades existentes en cuanto a...
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.<br...
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.<br...
Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de segurida...
FASE II. Implementación<br />
1.	Configurar las aplicaciones existentes  de acuerdo a los requisitos de seguridad  registrados.<br />
2.	Elaborar un documento en el cual se detalla  las especificaciones de seguridad de las actuales aplicaciones y de aquell...
3.	Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose ...
FASE III. <br />Seguimiento y control<br />
Seguimiento y control<br />Realizar un seguimiento periódico  para determinar si la implementación ha sido satisfactoria, ...
Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., inten...
Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; vel...
Recomendaciones<br />
Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobació...
Recomendaciones<br />Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicacione...
2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA<br />
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Seguridad de las Aplicaciones del Sistema<br />GACH INGENIERIA S.A.C<br />Objetivo<b...
La empresa en mención si bien tiene un área de desarrollo, esta se orienta al proceso de negocio en sí, es decir la elabor...
Recomendaciones:<br />Para la implementación de este dominio siempre que sea posible, debemos utilizar librerías y funcion...
Para mayor confianza con datos vitales, debemos construir e implementar funciones adicionales de validación y chequeo cruz...
Se debe usar  herramientas  de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos ...
3. Controles Criptográficos<br />Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.<br />
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Controles Criptográficos<br />GACH INGENIERIA S.A.C<br />Objetivo<br />Proteger la c...
Implementación.<br />El personal de la empresa GACH Ingeniería si bien posee contraseñas y/o passwords estos son referente...
La implementación  de encriptación de datos en la rede se dará por medio de un router administrable, con el cual se implem...
4. Controles del Software en producción.<br />Objetivo. Proteger la confidencialidad autenticidad o integridad de la infor...
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Controles del Software en producción <br />GACH INGENIERIA S.A.C<br />Objetivo<br />...
Implementación<br />La empresa GACH Ingeniería cuenta con software de diseño, con el cual realiza sus actividades, si bien...
La implementación seria formalizar la adquisición de software, para su control en producción, considerando que el software...
También le otorga al comprador en este caso la empresa GACH Ingeniería la ventaja de saber que el programa en cuestión no ...
5. Seguridad en los procesos de desarrollo y Soporte<br />Objetivo. Mantener la seguridad del software de aplicación y la ...
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Seguridad en los procesos de desarrollo y <br />Soporte <br />GACH INGENIERIA S.A.C<...
6. Control de las vulnerabilidades técnicas.<br />Objetivo. Reducir los riesgos resultantes de la explotación de vulnerabi...
IMPLEMENTACIÓN  DE LA CATEGORIA:<br />Control de las vulnerabilidades técnicas <br />GACH INGENIERIA S.A.C<br />Objetivo<b...
Implementación<br />La empresa cuenta con diversos aplicativos, los cuales deben estar constantemente actualizados, debido...
Se debe hacer seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actua...
Otras aspectos a considerar en cuanto se refiere a seguridad de la información<br />
Punto de vista actual<br />Ya que la empresa actualmente se encuentra en un buen índice de crecimiento, se le puede consid...
ÁREA DE TI <br />El área Seguridad entrega niveles de validación, generación e implantación de políticas y normas para el ...
POLÍTICAS DE SEGURIDAD <br />Como actualmente los usuarios no cuentan con una política formal o control de información se ...
FIREWALLS Y ANTIVIRUS<br />En la actualidad la empresa ha sufrido varios daños hacia sus ordenadores, software, etc por vi...
SOFTWARE DE CONTROL Y PREVENCIÓN DE RIESGOS<br />Por el poco control y seguridad que se tiene actualmente en la empresa, e...
COPIAS DE SEGURIDAD<br />Como la empresa actualmente crea una copia de seguridad cada mes en discos externos y de forma ma...
Conclusiones<br />	La empresa GACH Ingeniería no cuenta actualmente con una política de seguridad, tampoco con dispositiv...
Recomendaciones<br />	El funcionamiento correcto de un proceso de gestión de vulnerabilidades técnicas de una organizació...
Próxima SlideShare
Cargando en…5
×

Dominio 8 grupo 11

1.131 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.131
En SlideShare
0
De insertados
0
Número de insertados
347
Acciones
Compartido
0
Descargas
24
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Dominio 8 grupo 11

  1. 1. Adquisición, desarrollo y mantenimiento de Sistemas<br />Equipo Nº 11<br />UNFV – FIIS -2011<br />Aplicación del Dominio<br />Universidad Nacional Federico Villarreal<br />
  2. 2. Introducción<br />LA INFORMACIÓN ES UN ACTIVO PARA LAS ORGANIZACIONES Y EN CONSECUENCIA REQUIERE UNA PROTECCIÓN ADECUADA, Y DEBIDO AL ACTUAL AMBIENTE CRECIENTE ESTÁ EXPUESTA A UN MAYOR RANGO DE AMENAZAS SIN CONTAR CON LAS DEBILIDADES INHERENTES DE LA MISMA.<br />
  3. 3. EMPRESA<br />Nombre<br />“GACH INGENIERIA SAC”<br />GG:<br />Ing. César A. Cuyutupa Calixto<br />RUBRO:<br /> Suministros, proyectos y ejecución de obras de ingeniería eléctrica<br />
  4. 4. SITUACIÓN ACTUAL<br />GENERAL<br />Área de TI : No cuenta con un área específica <br />Servidores : No cuenta con alguno<br />Intranet : No<br />Dominio propio<br />Correo corporativo<br />
  5. 5. SITUACIÓN ACTUAL<br />Hardware<br />5 pc’s para uso de empleados (contador, logístico y desarrollo)<br />2 pc´s de uso gerencial<br />Red Lan<br />
  6. 6. SITUACIÓN ACTUAL<br />Software<br /><ul><li>De seguridad, antivirus McAffee
  7. 7. Entorno Windows, Office, Outlook
  8. 8. De desarrollo, AutoCad</li></li></ul><li>SITUACIÓN ACTUAL<br />Infraestructura<br />Lugar especifico para las áreas contables, logística, desarrollo (primer nivel), y para la gerencia (2do nivel).<br />
  9. 9. SITUACIÓN ACTUAL<br />Gestión de la Información<br />Jerarquizada<br />Acceso a la información jerarquizada (Desde arriba hacia abajo) en caso de la gerencia.<br />Bajo permisos de la gerencia vía correo<br />Compartir información por redes, y por correo interno<br />Control de contenido y por usuario.<br />
  10. 10. SITUACIÓN ACTUAL<br />Gestión de la Información<br /><ul><li>Base de datos en Excel
  11. 11. Backups cada 2 meses en discos duros externos</li></li></ul><li>SITUACIÓN ACTUAL<br />Gestión de la Información<br />
  12. 12. dominio 8<br />Adquisición, desarrollo y mantenimiento de Sistemas<br />
  13. 13. Adquisición, desarrollo y mantenimiento de Sistemas<br />En esta cláusula o dominio se menciona seis categorías de seguridad, las cuales se ramifican en sub-categorías<br />
  14. 14.
  15. 15. Descripción Actual:<br />La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene conocimientos de la necesidad de implementar aplicaciones que le permita la gestión de la contabilidad, del inventariado<br />
  16. 16. Descripción Actual:<br />Por lo tanto la aplicación de este dominio en lo referente a la primera parte no es factible, debido a la ausencia de desarrollo, pero la empresa si adquiere paquetes de trabajo, y cuenta con software existente.<br />
  17. 17. Aplicaciones Actuales<br />Aplicaciones de Seguridad<br />ANTIVIRUS<br />
  18. 18. McAfee Antivirus Plus.<br />Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías.<br />
  19. 19. Bit Defender 2010.<br />Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador, también erradica spyware e intercepta intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en busca de vulnerabilidades.<br />Aplicaciones de Diseño<br />
  20. 20. AutoCAD.<br />Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.<br />
  21. 21. GCAD 3D.<br />Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño<br />
  22. 22. Aplicaciones Actuales<br />Aplicaciones de Escritorio<br />
  23. 23. Suite Office 2010.<br />Conjunto de aplicaciones con los cuales la empresa realiza sus actividades.<br />Aplicaciones incluidas<br /> Microsoft Access 2010<br /> Microsoft Excel 2010<br /> Microsoft OneNote 2010<br /> Microsoft Outlook 2010<br /> Microsoft PowerPoint 2010<br /> Microsoft Publisher 2010<br /> Microsoft Word 2010<br /> Microsoft Visio 2010 <br /> Microsoft Project 2010 <br />
  24. 24. Windows 7<br />Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.<br />
  25. 25. Aplicaciones y herramientas secundarias<br />(Winrar, Adobe Reader, etc.)<br />
  26. 26. Categorías del Dominio a implementar:<br />1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS<br />
  27. 27. 1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS<br />
  28. 28. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Requisitos de Seguridad de los Sistemas<br />GACH INGENIERIA S.A.C<br />Objetivo<br />Requisitos de la seguridad de los Sistemas de Información<br />
  29. 29. Antivirus.<br />Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debido a que sus configuraciones están por defectos, es así que tienen amenaza potencial en cuanto a seguridad informática, producto de la vulnerabilidad innata de las configuraciones predeterminadas.<br />
  30. 30. Lista de Actividades <br />FASE I. Recopilación y Registro.<br />
  31. 31. Identificar la forma en la cual se gestiona la información.<br />Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información<br />
  32. 32. Identificar los recursos físicos con los cuales cada área dispone.<br />Listar las vulnerabilidades existentes en cuanto al manejo de la información.<br />Listar vulnerabilidades inherentes en la información que se transmite o accede.<br />
  33. 33. Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.<br />Registrar los requerimientos de seguridad de los interesados.<br />Registrar las vulnerabilidades de las actuales aplicaciones.<br />Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.<br />
  34. 34. Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.<br />Registrar los requerimientos de seguridad de los interesados.<br />Registrar las vulnerabilidades de las actuales aplicaciones.<br />Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.<br />
  35. 35. Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información<br />Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.<br />
  36. 36. FASE II. Implementación<br />
  37. 37. 1. Configurar las aplicaciones existentes de acuerdo a los requisitos de seguridad registrados.<br />
  38. 38. 2. Elaborar un documento en el cual se detalla las especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben considerarse en la adquisición de nuevos paquetes de software o aplicaciones.<br />
  39. 39. 3. Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.<br />
  40. 40. FASE III. <br />Seguimiento y control<br />
  41. 41. Seguimiento y control<br />Realizar un seguimiento periódico para determinar si la implementación ha sido satisfactoria, para ello se utilizaría las siguientes métricas:<br />
  42. 42. Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).<br />
  43. 43. Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).<br />
  44. 44. Recomendaciones<br />
  45. 45. Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobación de los requisitos de seguridad que surjan. Debido que si son realmente responsables de proteger sus activos, es en interés suyo hacerlo de una manera correcta<br />
  46. 46. Recomendaciones<br />Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP<br />
  47. 47. 2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA<br />
  48. 48. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Seguridad de las Aplicaciones del Sistema<br />GACH INGENIERIA S.A.C<br />Objetivo<br />Procesamiento correcto en las aplicaciones<br />Implementación.<br />
  49. 49. La empresa en mención si bien tiene un área de desarrollo, esta se orienta al proceso de negocio en sí, es decir la elaboración de planos de instalaciones eléctricas y cableado estructurado.<br />Debido a la inexistencia de un área propiamente al desarrollo de aplicaciones para la empresa en sí no es factible la aplicabilidad de esta categoría del dominio en mención.<br />
  50. 50. Recomendaciones:<br />Para la implementación de este dominio siempre que sea posible, debemos utilizar librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc.<br />
  51. 51. Para mayor confianza con datos vitales, debemos construir e implementar funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). <br />
  52. 52. Se debe usar herramientas de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc. <br />
  53. 53. 3. Controles Criptográficos<br />Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.<br />
  54. 54. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Controles Criptográficos<br />GACH INGENIERIA S.A.C<br />Objetivo<br />Proteger la confidencialidad autenticidad o integridad de la información.<br />
  55. 55. Implementación.<br />El personal de la empresa GACH Ingeniería si bien posee contraseñas y/o passwords estos son referente a cuanto sus cuentas de correo electrónico e inicio de sesión en su respectivo ordenador, claro está que por eso se va a descuidar o prescindir del uso de las mismas. <br />
  56. 56. La implementación de encriptación de datos en la rede se dará por medio de un router administrable, con el cual se implementaran protocolos de encriptación como los que poseen:<br />OSFP<br />RIP v2<br />EIGRP<br />Para las conexiones remotas se darán a través de VPN, las cuales se pueden adquirir por medio del ISP local.<br />
  57. 57. 4. Controles del Software en producción.<br />Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.<br />
  58. 58. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Controles del Software en producción <br />GACH INGENIERIA S.A.C<br />Objetivo<br />Proteger la confidencialidad autenticidad o integridad de la información.<br />
  59. 59. Implementación<br />La empresa GACH Ingeniería cuenta con software de diseño, con el cual realiza sus actividades, si bien la mayoría de software que utiliza son comerciales, estos son adquiridos directamente de los proveedores, cabe destacar que la empresa cuenta con licencia para la utilización de las mismas.<br />
  60. 60. La implementación seria formalizar la adquisición de software, para su control en producción, considerando que el software original otorga al usuario la ventaja de saber que se encuentra libre de virus y otras amenazas. <br />
  61. 61. También le otorga al comprador en este caso la empresa GACH Ingeniería la ventaja de saber que el programa en cuestión no afectará su computadora de ninguna forma, por el contrario, la hará más productiva, funcional, dependiendo de lo que el software deba realizar<br />
  62. 62. 5. Seguridad en los procesos de desarrollo y Soporte<br />Objetivo. Mantener la seguridad del software de aplicación y la información.<br />
  63. 63. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Seguridad en los procesos de desarrollo y <br />Soporte <br />GACH INGENIERIA S.A.C<br />Objetivo<br />Mantener la seguridad del software de aplicación y la información.<br />Implementación<br />No impresentable debido a que la empresa en mención no posee un área de desarrollo de aplicaciones ni terciariza este proceso. <br />
  64. 64. 6. Control de las vulnerabilidades técnicas.<br />Objetivo. Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas.<br />
  65. 65. IMPLEMENTACIÓN DE LA CATEGORIA:<br />Control de las vulnerabilidades técnicas <br />GACH INGENIERIA S.A.C<br />Objetivo<br />Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas <br />
  66. 66. Implementación<br />La empresa cuenta con diversos aplicativos, los cuales deben estar constantemente actualizados, debido de que esta manera estamos minimizando las vulnerabilidades de los sistemas.<br />
  67. 67. Se debe hacer seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evaluando la relevancia y criticidad o urgencia de los parches en su entorno tecnológico.<br />
  68. 68. Otras aspectos a considerar en cuanto se refiere a seguridad de la información<br />
  69. 69. Punto de vista actual<br />Ya que la empresa actualmente se encuentra en un buen índice de crecimiento, se le puede considerar tome los siguientes puntos acerca de su seguridad para que así pueda ser esta mucho mas confiable y segura a la hora de trabajarla.<br />
  70. 70. ÁREA DE TI <br />El área Seguridad entrega niveles de validación, generación e implantación de políticas y normas para el buen cumplimiento y aseguramiento de la información. <br />
  71. 71. POLÍTICAS DE SEGURIDAD <br />Como actualmente los usuarios no cuentan con una política formal o control de información se sugiere poner la disposición de la información con un mayor control sobre ella<br />
  72. 72. FIREWALLS Y ANTIVIRUS<br />En la actualidad la empresa ha sufrido varios daños hacia sus ordenadores, software, etc por virus traídos mediante medios extraíbles y descargas en internet, así como por spam.<br />
  73. 73. SOFTWARE DE CONTROL Y PREVENCIÓN DE RIESGOS<br />Por el poco control y seguridad que se tiene actualmente en la empresa, el personal pierde productividad al acceder a sitios no autorizados libremente (FACEBOOK, TWITTER, YOUTUBE, ETC)<br />
  74. 74. COPIAS DE SEGURIDAD<br />Como la empresa actualmente crea una copia de seguridad cada mes en discos externos y de forma manual, se recomienda el uso de programas que realizan esta acción automáticamente en un menor tiempo al actual. <br />
  75. 75. Conclusiones<br /> La empresa GACH Ingeniería no cuenta actualmente con una política de seguridad, tampoco con dispositivos adecuados para la protección de la data.<br /> El dominio en aplicación consta de 6 categorías, las cuales no todas han sido aplicadas en la empresa en mención, debido a las características y requisitos de seguridad de las mismas.<br /> Existen algunas categorías del dominio de Adquisición, desarrollo y mantenimiento de sistemas que dependen de la aplicación de otros dominios de la norma NTP/ISO 17799-2007<br /> La implementación de la presente no garantiza una total seguridad en cuanto a la accesibilidad, integración y disponibilidad de la información, debido a que es parte de un conjunto de dominios cuyo ámbito de aplicación es en algunos casos especifico en la organización.<br />
  76. 76. Recomendaciones<br /> El funcionamiento correcto de un proceso de gestión de vulnerabilidades técnicas de una organización es crítico para muchas organizaciones y por lo tanto debe ser monitoreado.<br /> Si no es posible realizar un prueba adecuada para los parches debido al costo o la falta de recursos, se puede considerar una demora en el parchado, para evaluar los riesgos asociados.<br /> Las buenas prácticas incluyen la prueba de un nuevo software en un ambiente segregado de los ambientes de producción y desarrollo.<br /> Los sistemas operativos solo deben ser actualizados cuando exista un requerimiento para realizarlo, estas no deben ser realizadas solo porque exista una nueva versión.<br /> Se recomienda consultar estándares nacionales e internacionales como guía para el diseño, implementación, seguimiento y control de mecanismos y/o sistemas de seguridad de la información.<br />
  77. 77. FIN DE LA PRESENTACIÓN<br />

×