SlideShare una empresa de Scribd logo

Analisis Riesgo Metodología OCTAVE

Descargar como PPTX, PDF
Y
YairTobon

Análisis de Riesgos de una empresa encargada de adminstrar puntos de venta en restaurantes de comida rapida.

Tecnología
1 de 21
Seguridad Informática Análisis de Riesgos Metodología OCTAVE Tobón Romero Yair – 040045832 Zárate Aviña Jorge – 040045726 México, D.F. a 01 de Agosto de 2015
La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office) Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación. Introducción
Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejero, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría. Situación Actual
Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad. Objetivo
Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. Alcance
• Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. Metodología
• Establecer criterios de medición de riesgos. • Desarrollar un perfil de activos de información. • Identificar contenedores de activos de información. • Identificar áreas de preocupación. • Identificar escenarios de amenaza. • Identificar riesgos. • Analizar riesgos. • Seleccionar un enfoque de mitigación. Fases de OCTAVE
• Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano. Activos Críticos
• Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. • No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos Riesgos
• Hacer que los POS sean inoperantes • Robo de base de datos • Robo de logs de transacciones de TC • Manipulación de datos en inventario de los restaurantes • Manipulación de ventas en POS, por medio de clave de soporte • Virus o software malicioso Amenazas
Identificación de Amenazas y Vulnerabilidades Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación – Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa Bajo
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la transferencia de datos. Prioritaria Alto
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk - Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico corporativo Integridad - Políticas de depuración de información - Implementación de plan de recuperación de desastres Necesario Alto
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación de canales de comunicación con sus superiores Necesario Medio
Matriz de Ponderación La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación.
Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3
Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima. Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC - Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo - Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk Por Implementar 4
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. - Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderaci ón Actual Manipulación de datos en inventario de los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos. Aplicado 1
• http://www.expresionbinaria.com/8-pasos- para-hacer-una-evaluacion-de-riesgos-con- octave-allegro/ • http://auditoriauc20102mivi.wikispaces.com /file/view/Metodolog%C3%ACas+deGesti%C 3%B2n+de+Riesgos.pdf Referencias

Recomendados

Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service ProposalCarl Bradley Pate
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
ISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxMiguelMona
 

Recomendados

Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service ProposalCarl Bradley Pate
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
ISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxISO 27005 Monitoreo y revisión de riesgos.pptx
ISO 27005 Monitoreo y revisión de riesgos.pptxMiguelMona
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Kinetic Potential
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6aCritical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6aJames W. De Rienzo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
CISSP - Security Assessment
CISSP - Security AssessmentCISSP - Security Assessment
CISSP - Security AssessmentKarthikeyan Dhayalan
 
The Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best PracticesThe Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best PracticesKellep Charles
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Requerimientos de Usabilidad
Requerimientos de UsabilidadRequerimientos de Usabilidad
Requerimientos de Usabilidadgcaicedo
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.pptHasnolAhmad2
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 
NIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapNIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapWAJAHAT IQBAL
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo Modernizacion y Gobierno Digital - Gobierno de Chile
 

Más contenido relacionado

La actualidad más candente

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Kinetic Potential
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6aCritical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6aJames W. De Rienzo
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
The Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best PracticesThe Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best PracticesKellep Charles
 
Requerimientos de Usabilidad
Requerimientos de UsabilidadRequerimientos de Usabilidad
Requerimientos de Usabilidadgcaicedo
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.pptHasnolAhmad2
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 
NIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapNIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapWAJAHAT IQBAL
 

La actualidad más candente (20)

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813Nist 800 53 deep dive 20210813
Nist 800 53 deep dive 20210813
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo Wazuh
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6aCritical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
Critical Security Controls v4 1 Mapped to NIST SP 800-53 Rev.4-final r6a
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
CISSP - Security Assessment
CISSP - Security AssessmentCISSP - Security Assessment
CISSP - Security Assessment
 
The Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best PracticesThe Security Vulnerability Assessment Process & Best Practices
The Security Vulnerability Assessment Process & Best Practices
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
Requerimientos de Usabilidad
Requerimientos de UsabilidadRequerimientos de Usabilidad
Requerimientos de Usabilidad
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common Criteria
 
NIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - MindmapNIST Cybersecurity Framework - Mindmap
NIST Cybersecurity Framework - Mindmap
 

Destacado

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresalidytazo
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242hammettbv
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38ronalitomejia
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...Rooswelth Gerardo Zavaleta Benites
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las EmpresasROBINHOOD
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategiasalexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
 

Destacado (20)

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
 

Similar a Analisis Riesgo Metodología OCTAVE

Aplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionAplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionpheramrh
 
5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacionpheramrh
 
Unidad 5 sistemas de informacion
Unidad 5 sistemas de informacionUnidad 5 sistemas de informacion
Unidad 5 sistemas de informacionCasssandraG
 
5.1 sistemas de informacion
5.1 sistemas de informacion5.1 sistemas de informacion
5.1 sistemas de informacionCasssandraG
 
defensa FINAL.pptx
defensa FINAL.pptxdefensa FINAL.pptx
defensa FINAL.pptxAlexCCruz
 
Socializacion del proyecto
Socializacion del proyectoSocializacion del proyecto
Socializacion del proyectoyeyo_
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&nluis villacis
 
ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)Openup Solutions
 
All Online Solutions
All Online SolutionsAll Online Solutions
All Online SolutionsJuan Onetto
 
Informe de requerimientos
Informe de requerimientosInforme de requerimientos
Informe de requerimientoscarnicos
 
Evaluación Software Contable a2
Evaluación Software Contable a2Evaluación Software Contable a2
Evaluación Software Contable a2beckys27
 
Nicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez
 

Similar a Analisis Riesgo Metodología OCTAVE (20)

Aplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionAplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacion
 
Unidad5.1
Unidad5.1Unidad5.1
Unidad5.1
 
5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion
 
Unidad5[1]
Unidad5[1]Unidad5[1]
Unidad5[1]
 
Unidad 5 sistemas de informacion
Unidad 5 sistemas de informacionUnidad 5 sistemas de informacion
Unidad 5 sistemas de informacion
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
5.1 sistemas de informacion
5.1 sistemas de informacion5.1 sistemas de informacion
5.1 sistemas de informacion
 
Unidad5jesus
Unidad5jesusUnidad5jesus
Unidad5jesus
 
defensa FINAL.pptx
defensa FINAL.pptxdefensa FINAL.pptx
defensa FINAL.pptx
 
Socializacion del proyecto
Socializacion del proyectoSocializacion del proyecto
Socializacion del proyecto
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Topicos especiales2
Topicos especiales2Topicos especiales2
Topicos especiales2
 
La duni
La duniLa duni
La duni
 
ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
All Online Solutions
All Online SolutionsAll Online Solutions
All Online Solutions
 
Informe de requerimientos
Informe de requerimientosInforme de requerimientos
Informe de requerimientos
 
Evaluación Software Contable a2
Evaluación Software Contable a2Evaluación Software Contable a2
Evaluación Software Contable a2
 
Especificación de requerimientos tatiana fuentes
Especificación de requerimientos tatiana fuentesEspecificación de requerimientos tatiana fuentes
Especificación de requerimientos tatiana fuentes
 
Nicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiere
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Último (19)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

Analisis Riesgo Metodología OCTAVE

  • 1. Seguridad Informática Análisis de Riesgos Metodología OCTAVE Tobón Romero Yair – 040045832 Zárate Aviña Jorge – 040045726 México, D.F. a 01 de Agosto de 2015
  • 2. La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office) Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación. Introducción
  • 3. Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejero, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría. Situación Actual
  • 4. Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad. Objetivo
  • 5. Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. Alcance
  • 6. • Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. Metodología
  • 7. • Establecer criterios de medición de riesgos. • Desarrollar un perfil de activos de información. • Identificar contenedores de activos de información. • Identificar áreas de preocupación. • Identificar escenarios de amenaza. • Identificar riesgos. • Analizar riesgos. • Seleccionar un enfoque de mitigación. Fases de OCTAVE
  • 8. • Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano. Activos Críticos
  • 9. • Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. • No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos Riesgos
  • 10. • Hacer que los POS sean inoperantes • Robo de base de datos • Robo de logs de transacciones de TC • Manipulación de datos en inventario de los restaurantes • Manipulación de ventas en POS, por medio de clave de soporte • Virus o software malicioso Amenazas
  • 11. Identificación de Amenazas y Vulnerabilidades Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación – Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa Bajo
  • 12. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la transferencia de datos. Prioritaria Alto
  • 13. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk - Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico corporativo Integridad - Políticas de depuración de información - Implementación de plan de recuperación de desastres Necesario Alto
  • 14. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación de canales de comunicación con sus superiores Necesario Medio
  • 15. Matriz de Ponderación La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación.
  • 16. Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3
  • 17. Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima. Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1
  • 18. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC - Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo - Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk Por Implementar 4
  • 19. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. - Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4
  • 20. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderaci ón Actual Manipulación de datos en inventario de los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos. Aplicado 1