SlideShare una empresa de Scribd logo

Trabajo final módulo 4

Descargar como PPT, PDF
J
jose_calero

Este documento presenta el análisis de riesgos del área tecnológica de la empresa Distribuidora Boliviana de Bebidas. Identifica los sistemas de información, activos, amenazas, vulnerabilidades y riesgos tecnológicos. Propone una matriz de riesgos y métricas para medir el desempeño de los controles. Finalmente, recomienda implementar políticas de seguridad física y capacitación para reducir las vulnerabilidades identificadas.

1 de 19
Introducción El presente trabajo nos permitirá apreciar el análisis de riesgos del área tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder realizar una apreciación tanto crítica para que la empresa pueda preparar, emplear, instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro.
ANTECEDENTES La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha implementado tecnología en sus procesos:
ANTECEDENTES Sistemas de Información: •Sistema de Ruteo (Roadshow) •Sistema de Contabilidad •Sistema de Facturación FIS •El centro de cómputo básicamente cuenta con un servidor de Base de Datos, que almacena información de los sistemas mencionados.
DELIMITACIÓN Se contempla realizar un diagnóstico basado en un análisis de Riesgos cuantitativo del Centro de Cómputo con el que cuenta la empresa: o Se elaborará una matriz de Riesgos cuantitativa o Se describirán las métricas para medir el desempeño y cumplimiento de los controles. o Se elaborará un cronograma de implementación. o Se propondrá algunas políticas en base a las vulnerabilidades y controles.
DESARROLLO DEL PROYECTO Identificación y descripción de activos •Know how •Datos •Aplicaciones •Personal •Servicios •Tecnologías •Instalaciones
DESARROLLO DEL PROYECTO Valoración de activos Activo Categoría Disponibilidad Integridad Confidencialidad Valor Promedio Sistema de Aplicaciones 80 80 90 83 Ruteo Roadshow Sistema de Aplicaciones 80 80 100 86 facturación FIS Sistema de Aplicaciones 80 80 90 83 Contabilidad Servidor Tecnologías 80 70 90 80 PC’s Tecnologías 90 80 70 80 Cableado de Tecnologías 70 60 60 63 Red de Datos
DESARROLLO DEL PROYECTO Identificación y descripción de amenazas •Amenazas naturales •Amenazas humanas •Amenazas software •Amenazas hardware
DESARROLLO DEL PROYECTO Identificación y descripción de vulnerabilidades •Falta de políticasde acceso físico al área de sistemas de acceso al sistema •Falta de control de seguridad de la información •Falta de políticas de copias de respaldo •Falta de políticas •Falta de actualizacionesen su manipulación •El sistema es complejo que conoce el Sistema •Solo existe un encargadoSistema de Contabilidad y •Falta de integración del Facturación
DESARROLLO DEL PROYECTO Identificación y descripción de vulnerabilidades •Envío de contraseñas con encriptación débil •Puertos no utilizados abiertos •Falta de un sistema de ingreso de personal •No existe cableado estructurado en la instalación de la red de energía eléctrica. •Políticas de seguridad deficientes e inexistentes para el cuidado y conservación de hardware. •La empresa no cuenta con una construcción antisísmica •Políticas de seguridad en caso de desastres naturales inexistente •Instalaciones Inadecuadas, para protección del cableado •No existe cableado estructurado en la red de datos.
DESARROLLO DEL PROYECTO Matriz de análisis de riesgos Activos Val Amenazas FE SLE Vulnerabilidade ARO ALE Controles or s Sistema 100 1. Personal 50% 5000 4. Falta de 25% 1250 1. Establecimiento de 00 no politicas de de una politica de Ruteo Autorizado acceso al control de accesos Roadsh con acceso sistema ow al Sistema 2. Uso de criptografia para proteger los datos 2. Robo de la 10% 1000 1. Falta de 25% 250 3. Restringir el Información control de acceso ingreso de personas fisico al area de no autorizadas sistemas
DESARROLLO DEL PROYECTO Selección de controles •Establecimiento de una política de control de accesos. •Uso de criptografía para proteger los datos. •Restringir el ingreso de personas no autorizadas •Restringir el uso de dispositivos de almacenamiento •Limitar el uso de correos no corporativos y acceso a servidores FTP •Definir una política de copias de seguridad
DESARROLLO DEL PROYECTO Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y) Ref. Política Seguridad Física Concepto Se utilizarán perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información. Dimensión Fallas de equipos y de la capa física de la red del sistema. Métrica Cantidad de mal funcionamiento de equipos. Frecuencia Cada 90 días Fuente Registro de servicio de técnico. Indicadores % de fallas de los equipos. justificación Falta de seguridad de funcionamiento óptimo de los equipos
DESARROLLO DEL PROYECTO Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y) Ref. Política Políticas de Formación y Capacitación en Materia de Seguridad de la Información Concepto Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación , preparación y actualización periódica en materia de la política, normas y procedimientos de la empresa Dimensión El personal tiene conocimiento de las políticas de seguridad Métrica Personal capacitado Frecuencia Cada 90 días Fuente Test de capacitación Indicadores % de personal que aprobaron el test justificación Falta de políticas de acceso y restricción al sistema
DESARROLLO DEL PROYECTO Plan de Implementación General Es una guía para la implementación de los controles seleccionados para corregir en su totalidad o parcialmente las vulnerabilidades Objetivos Análisis y descripción de amenazas •Análisis y descripción de vulnerabilidades •Selección de controles •Implementación de controles Presupuesto implementación de controles El presupuesto provisional total asciende a un costo de $us. 66100,00.
DESARROLLO DEL PROYECTO Cronograma Id Controles Mes1 Mes2 Mes3 Mes4 1 Análisis y descripción de Amenazas 2 Análisis y descripción de Vulnerabilidades 3 Selección de Controles 4 Implementación de Controles 5 Establecimiento de una política de control de accesos
DESARROLLO DEL PROYECTO Conclusiones y recomendaciones Conclusiones: El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades existentes en los procesos de la empresa y seleccionar los controles adecuados. La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los cuales necesitan institucionalizarse y comprometerse con los objetivos de la empresa. Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad al centro de cómputo y a la información que es un activo vital para la empresa. Estas políticas se pueden observar en la sección de Anexos. Recomendaciones: Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en el compromiso laboral es importante, ya que es la medida en que una persona se identifica con la empresa y su entorno, queriendo participar en las actividades de la misma, persiguiendo los mismos objetivos y cuidando de los activos.
DESARROLLO DEL PROYECTO Conclusiones y recomendaciones Académicas Conclusiones: Se logró comprender que el manejo adecuado de la información constituye una clave de éxito frente a la competencia. Se aplicó los conceptos de seguridad de información para poder encontrar las vulnerabilidades tecnológicas y aplicar los controles necesarios. En base a las vulnerabilidades identificadas y los controles, se logró desarrollado como propuesta de implementación políticas de seguridad, con el fin de mantener la disponibilidad, integridad y confidencialidad de la información y del equipamiento que conforma el centro de cómputo. Recomendaciones: Para poder tener una visión más amplia de la empresa en la cual se realiza el análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la visión y misión.
Gracias!

Recomendados

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
seguinfo2012
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Jesenia Ocaña Escobar
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-Perú
Rose Rincon
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
Integración de Soluciones Estrategicas
 
Adquisiciòn e implementaciòn dominio
Adquisiciòn e implementaciòn dominioAdquisiciòn e implementaciòn dominio
Adquisiciòn e implementaciòn dominio
MONSE29
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacion
vanessagiovannasierra
 

Recomendados

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
seguinfo2012
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Jesenia Ocaña Escobar
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-Perú
Rose Rincon
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
Integración de Soluciones Estrategicas
 
Adquisiciòn e implementaciòn dominio
Adquisiciòn e implementaciòn dominioAdquisiciòn e implementaciòn dominio
Adquisiciòn e implementaciòn dominio
MONSE29
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
Sistel CONTROL
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacion
vanessagiovannasierra
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
Jose Manuel Acosta
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
Yamileth Miguel
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Manuel Mujica
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
xavisinho
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
Jdm87
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
Foro Global Crossing
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfg
DrossMisses
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
PaperComp
 
Iso
IsoIso
Iso
FranciscoVilchezVill
 
Tema 8
Tema 8Tema 8
Tema 8
Carmelo Branimir España Villegas
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016
Matías Jackson
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
gchv
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Jack Daniel Cáceres Meza
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
Karia
 
Gestion de fallos GESTION DE RED
Gestion de fallos GESTION DE REDGestion de fallos GESTION DE RED
Gestion de fallos GESTION DE RED
Deivid Cruz Sarmiento
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
YairTobon
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Carlos Escobar
 

Más contenido relacionado

La actualidad más candente

Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
Jose Manuel Acosta
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
Yamileth Miguel
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Manuel Mujica
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
xavisinho
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
Jdm87
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
Foro Global Crossing
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfg
DrossMisses
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
PaperComp
 
Iso
IsoIso
Iso
FranciscoVilchezVill
 
Tema 8
Tema 8Tema 8
Tema 8
Carmelo Branimir España Villegas
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016
Matías Jackson
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
gchv
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Jack Daniel Cáceres Meza
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
Karia
 
Gestion de fallos GESTION DE RED
Gestion de fallos GESTION DE REDGestion de fallos GESTION DE RED
Gestion de fallos GESTION DE RED
Deivid Cruz Sarmiento
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
YairTobon
 

La actualidad más candente (20)

Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Presentación tfg
Presentación tfgPresentación tfg
Presentación tfg
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Iso
IsoIso
Iso
 
Tema 8
Tema 8Tema 8
Tema 8
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
 
Gestion de fallos GESTION DE RED
Gestion de fallos GESTION DE REDGestion de fallos GESTION DE RED
Gestion de fallos GESTION DE RED
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 

Similar a Trabajo final módulo 4

Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Carlos Escobar
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
JeisonCapera1
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
Miguel Angel Sandoval Calderon
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
Ingeniería e Integración Avanzadas (Ingenia)
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Symantec LATAM
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
Miguel Angel Sandoval Calderon
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
rossana mendieta
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
Manuel Mujica
 
Resumen unidad 1
Resumen unidad 1Resumen unidad 1
Resumen unidad 1
Melany Pino
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
AmirCalles1
 
NORMA TÉCNICA PERUANA.
NORMA TÉCNICA PERUANA.NORMA TÉCNICA PERUANA.
NORMA TÉCNICA PERUANA.
ANNALY123
 
Wargames in your office
Wargames in your officeWargames in your office
Wargames in your office
Rafael Sánchez Gómez
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
David Aguilar
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
David Aguilar
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
MariaSalazarLopez
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
daysiGallegos
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
CloeCornejo
 

Similar a Trabajo final módulo 4 (20)

Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
 
Resumen unidad 1
Resumen unidad 1Resumen unidad 1
Resumen unidad 1
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
 
NORMA TÉCNICA PERUANA.
NORMA TÉCNICA PERUANA.NORMA TÉCNICA PERUANA.
NORMA TÉCNICA PERUANA.
 
Wargames in your office
Wargames in your officeWargames in your office
Wargames in your office
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 

Más de jose_calero

Mod4 trabajo final
Mod4 trabajo finalMod4 trabajo final
Mod4 trabajo final
jose_calero
 
Mapa+mental
Mapa+mentalMapa+mental
Mapa+mental
jose_calero
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
jose_calero
 
Practica Análisis de Tráfico de Red
Practica Análisis de Tráfico de RedPractica Análisis de Tráfico de Red
Practica Análisis de Tráfico de Red
jose_calero
 
Experiencias en la toma de decisiones
Experiencias en la toma de decisionesExperiencias en la toma de decisiones
Experiencias en la toma de decisiones
jose_calero
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad
jose_calero
 

Más de jose_calero (6)

Mod4 trabajo final
Mod4 trabajo finalMod4 trabajo final
Mod4 trabajo final
 
Mapa+mental
Mapa+mentalMapa+mental
Mapa+mental
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
 
Practica Análisis de Tráfico de Red
Practica Análisis de Tráfico de RedPractica Análisis de Tráfico de Red
Practica Análisis de Tráfico de Red
 
Experiencias en la toma de decisiones
Experiencias en la toma de decisionesExperiencias en la toma de decisiones
Experiencias en la toma de decisiones
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad
 

Trabajo final módulo 4

  • 1.
  • 2. Introducción El presente trabajo nos permitirá apreciar el análisis de riesgos del área tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder realizar una apreciación tanto crítica para que la empresa pueda preparar, emplear, instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro.
  • 3. ANTECEDENTES La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha implementado tecnología en sus procesos:
  • 4. ANTECEDENTES Sistemas de Información: •Sistema de Ruteo (Roadshow) •Sistema de Contabilidad •Sistema de Facturación FIS •El centro de cómputo básicamente cuenta con un servidor de Base de Datos, que almacena información de los sistemas mencionados.
  • 5. DELIMITACIÓN Se contempla realizar un diagnóstico basado en un análisis de Riesgos cuantitativo del Centro de Cómputo con el que cuenta la empresa: o Se elaborará una matriz de Riesgos cuantitativa o Se describirán las métricas para medir el desempeño y cumplimiento de los controles. o Se elaborará un cronograma de implementación. o Se propondrá algunas políticas en base a las vulnerabilidades y controles.
  • 6. DESARROLLO DEL PROYECTO Identificación y descripción de activos •Know how •Datos •Aplicaciones •Personal •Servicios •Tecnologías •Instalaciones
  • 7. DESARROLLO DEL PROYECTO Valoración de activos Activo Categoría Disponibilidad Integridad Confidencialidad Valor Promedio Sistema de Aplicaciones 80 80 90 83 Ruteo Roadshow Sistema de Aplicaciones 80 80 100 86 facturación FIS Sistema de Aplicaciones 80 80 90 83 Contabilidad Servidor Tecnologías 80 70 90 80 PC’s Tecnologías 90 80 70 80 Cableado de Tecnologías 70 60 60 63 Red de Datos
  • 8. DESARROLLO DEL PROYECTO Identificación y descripción de amenazas •Amenazas naturales •Amenazas humanas •Amenazas software •Amenazas hardware
  • 9. DESARROLLO DEL PROYECTO Identificación y descripción de vulnerabilidades •Falta de políticasde acceso físico al área de sistemas de acceso al sistema •Falta de control de seguridad de la información •Falta de políticas de copias de respaldo •Falta de políticas •Falta de actualizacionesen su manipulación •El sistema es complejo que conoce el Sistema •Solo existe un encargadoSistema de Contabilidad y •Falta de integración del Facturación
  • 10. DESARROLLO DEL PROYECTO Identificación y descripción de vulnerabilidades •Envío de contraseñas con encriptación débil •Puertos no utilizados abiertos •Falta de un sistema de ingreso de personal •No existe cableado estructurado en la instalación de la red de energía eléctrica. •Políticas de seguridad deficientes e inexistentes para el cuidado y conservación de hardware. •La empresa no cuenta con una construcción antisísmica •Políticas de seguridad en caso de desastres naturales inexistente •Instalaciones Inadecuadas, para protección del cableado •No existe cableado estructurado en la red de datos.
  • 11. DESARROLLO DEL PROYECTO Matriz de análisis de riesgos Activos Val Amenazas FE SLE Vulnerabilidade ARO ALE Controles or s Sistema 100 1. Personal 50% 5000 4. Falta de 25% 1250 1. Establecimiento de 00 no politicas de de una politica de Ruteo Autorizado acceso al control de accesos Roadsh con acceso sistema ow al Sistema 2. Uso de criptografia para proteger los datos 2. Robo de la 10% 1000 1. Falta de 25% 250 3. Restringir el Información control de acceso ingreso de personas fisico al area de no autorizadas sistemas
  • 12. DESARROLLO DEL PROYECTO Selección de controles •Establecimiento de una política de control de accesos. •Uso de criptografía para proteger los datos. •Restringir el ingreso de personas no autorizadas •Restringir el uso de dispositivos de almacenamiento •Limitar el uso de correos no corporativos y acceso a servidores FTP •Definir una política de copias de seguridad
  • 13. DESARROLLO DEL PROYECTO Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y) Ref. Política Seguridad Física Concepto Se utilizarán perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información. Dimensión Fallas de equipos y de la capa física de la red del sistema. Métrica Cantidad de mal funcionamiento de equipos. Frecuencia Cada 90 días Fuente Registro de servicio de técnico. Indicadores % de fallas de los equipos. justificación Falta de seguridad de funcionamiento óptimo de los equipos
  • 14. DESARROLLO DEL PROYECTO Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y) Ref. Política Políticas de Formación y Capacitación en Materia de Seguridad de la Información Concepto Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación , preparación y actualización periódica en materia de la política, normas y procedimientos de la empresa Dimensión El personal tiene conocimiento de las políticas de seguridad Métrica Personal capacitado Frecuencia Cada 90 días Fuente Test de capacitación Indicadores % de personal que aprobaron el test justificación Falta de políticas de acceso y restricción al sistema
  • 15. DESARROLLO DEL PROYECTO Plan de Implementación General Es una guía para la implementación de los controles seleccionados para corregir en su totalidad o parcialmente las vulnerabilidades Objetivos Análisis y descripción de amenazas •Análisis y descripción de vulnerabilidades •Selección de controles •Implementación de controles Presupuesto implementación de controles El presupuesto provisional total asciende a un costo de $us. 66100,00.
  • 16. DESARROLLO DEL PROYECTO Cronograma Id Controles Mes1 Mes2 Mes3 Mes4 1 Análisis y descripción de Amenazas 2 Análisis y descripción de Vulnerabilidades 3 Selección de Controles 4 Implementación de Controles 5 Establecimiento de una política de control de accesos
  • 17. DESARROLLO DEL PROYECTO Conclusiones y recomendaciones Conclusiones: El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades existentes en los procesos de la empresa y seleccionar los controles adecuados. La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los cuales necesitan institucionalizarse y comprometerse con los objetivos de la empresa. Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad al centro de cómputo y a la información que es un activo vital para la empresa. Estas políticas se pueden observar en la sección de Anexos. Recomendaciones: Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en el compromiso laboral es importante, ya que es la medida en que una persona se identifica con la empresa y su entorno, queriendo participar en las actividades de la misma, persiguiendo los mismos objetivos y cuidando de los activos.
  • 18. DESARROLLO DEL PROYECTO Conclusiones y recomendaciones Académicas Conclusiones: Se logró comprender que el manejo adecuado de la información constituye una clave de éxito frente a la competencia. Se aplicó los conceptos de seguridad de información para poder encontrar las vulnerabilidades tecnológicas y aplicar los controles necesarios. En base a las vulnerabilidades identificadas y los controles, se logró desarrollado como propuesta de implementación políticas de seguridad, con el fin de mantener la disponibilidad, integridad y confidencialidad de la información y del equipamiento que conforma el centro de cómputo. Recomendaciones: Para poder tener una visión más amplia de la empresa en la cual se realiza el análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la visión y misión.