Scribd
Cargar
19 vistas16 páginas

Seguridad Informática Organizacional

Cargado por

Rosa Torres
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
19 vistas16 páginas

Seguridad Informática Organizacional

Cargado por

Rosa Torres
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Requisitos Y Procesos

OBJETIVO

Identificar los requisitos de la seguridad de la información en una


organización y relacionarlos con sus procesos.

METODOLOGÍA

1) Identificar los procesos de la organización.

2) Identificar algunos requisitos de seguridad de la información y


asociarlos a las partes interesadas correspondientes.

3) Valorar, en una matriz de relación, el grado de responsabilidad de


cada proceso con el cumplimiento de cada uno de los requisitos
identificados.

4) Definir el alcance del SGSI.

MP-30B-TALLERES-V4
Formato No. 1
Requisitos Y Procesos
Fuente/Parte interesada Ley Cliente Organización Tot
ales
Requisito 12345789 1 2 3 4 5 7 8 9 10 1567
Proceso:
UDE ADMINISTRACIÓN 5 5 5 15
UDE FINANCIERO 5 1 1 7
UDE AUDITORIA 3 3 3 9
UDE CALIDAD 3 5 3 11
UEN FABRICA SOFTWARE 3 1 1 5
UDE ING REQUISITOS 1 3 4
UDE ARQUITECTURA SOFT 3 3 1 7
UDE GESTION HUMANA 1 3 5 9
UDE INFRAESTRUCTURA 3 3 6

27 19
TOTALES
Califique el grado de relación con números de 1,3 ó 5,
Siendo 5 = alto, 3 = intermedio y 1 = bajo. MI-30B-V4
Formato No. 2
Alcance

UDE GESTION HUMANA

UDE ADMINISTRACIÓN
UDE AUDITORIA

UDE CALIDAD

UDE FINANCIERO

Clasifique los procesos que tuvieron una mayor calificación en la columna de totales dentro del
óvalo de alcance.

Ubique los demás procesos de acuerdo a las características propias de la organización.

Trace las interrelaciones entre los procesos de acuerdo con la descripción que realizó en el taller 2
del módulo de Fundamentos de SGSI.

MP-30B-TALLERES-V4
Inventario de
activos
OBJETIVO

Identificar y valorar los activos relevantes dentro del alcance del SGSI.

METODOLOGÍA

1) Seleccione un proceso dentro del alcance del SGSI.


2) Identifique los activos de información.
3) Establezca la ubicación para cada uno de ellos.
4) Determine el propietario / responsable del activo dentro de la organización.
5) Evalúe el impacto de cada activo en el negocio de acuerdo a los criterios de
Costo ($), Confidencialidad (C), Integridad (I) y Disponibilidad (D).

NOTA: Puede establecer grupos de activos similares para facilitar su análisis.

MP-30B-TALLERES-V4
Formato No. 3
Inventario de activos
Proceso:
Activo Ubicación Responsable $ C I D Total Valor

Dispositivos moviles Recursos humanos Diego Vallejo 3 1 1 1 6 Bajo


Servidores area Infraestrucura Julian Ortiz 5 1 1 5 12 Alto
Equipos de oficina Oficinas Infraestructura 5 1 1 1 8 Medio
PC's Oficinas Infraestructura 5 1 1 1 8 Medio
Impresoras Oficinas Infraestructura 5 1 1 1 8 Medio
Video Beans Administración Infraestructura 3 1 1 1 6 Bajo
Telefonia IP Oficinas Infraestructura 5 1 1 1 8 Medio
Información empleados Servidor RH 5 1 1 5 12 Alto
Información Clientes Servidor RH 5 1 1 5 12 Alto
Información Negocio Servidor RH 5 1 1 5 12 Alto
Tableros Administración Maria Rendon 1 1 1 1 4 Bajo
Red Lan Administración Julian Ortiz 5 1 1 3 10 Medio
Red Internet Administración Julian Ortiz 5 1 1 3 10 Medio

NOTAS:
Califique el impacto ($,C,I,D) con 1, 3 ó 5, siendo 5 = alto, 3 = intermedio y 1 = bajo.
Califique el valor en la escala (muy alto > 16, alto > 12, medio > 8 y bajo).
MI-30B-V4
Valoración de
riesgos
OBJETIVO

Identificar las amenazas y vulnerabilidades y valorar los riesgos


asociados.

METODOLOGÍA
1) Seleccione los activos de mayores valores y traslade la columna “Total” del
taller 2.

2) Identifique las principales vulnerabilidades actuales de cada uno de estos


activos (considere los controles existentes).

3) Identifique las principales amenazas que podrían explotar cada


vulnerabilidad.

4) Evalúe el impacto que causaría en el activo, la materialización de cada


evento.

5) Estime la probabilidad de ocurrencia de cada evento.

6) Calcule el valor de los riesgos.


MP-30B-TALLERES-V4
Formato No. 4
Valoración de
riesgos
Activo Valor Vulnerabilidad Amenaza I P Valor de
Riesgo
Mantenimiento mala configuración 5 1 50 Bajo
3 1 30 Bajo
Servidores Almac sin proteccion
mala comunciación
facil acceso 5 1 50 Bajo
12 robo información 5 1 50 Bajo
suplantación identid
Env. info medios 3 1 30 Bajo
Información no seguro filtración información 5 1 50 Bajo
empleados 12 No tener copias borrado de info
5 1 50 Bajo
de respaldo restaruaciones fall 3 1 30 Bajo
Env. info medios suplantacióon identidad 3 1 30 Bajo
Información insg filtración información 5 1 50 Bajo
Clientes 12 No tener borrado de info 5 1 50 Bajo
restaruaciones fall 1
protección 3 30 Bajo
Env. info medios suplantacióon identidad 3 1 30 Bajo
Información 12 inseguros filtración información
3 1 30 Bajo
"Falta proc. sobre mala ejec procesos 3 1 30 Bajo
Negocio el core del neg"
incumplimiento procesos
3 1 30 Bajo
arquitectura inseg. falla equipos 5 1 50 Bajo
12 Conexion
falla transferencia
5 1 250 Alto
Red Lan deficiente intermitencia conexion 3 1 90 Bajo
Transmis. de contra. espionaje remoto 5 1 50 Bajo
Red Internet 12 Trafico sensible espionaje remoto
5 1 50 Bajo
sin prot falla conexion 5 1 150 Medio
NOTAS:
Califique el impacto con 1,3 ó 5, siendo 5 = alto, 3 = intermedio y 1 = bajo.
Estime la probabilidad y califíquela con la misma escala.
Califique el valor de riesgo, multiplicando : Valor, I y P y asociándolo a la escala (Muy alto> 350, alto > 200, medio >100 y bajo) MI-30B-V4
Selección de
Controles
OBJETIVO

Seleccionar los controles adecuados para el tratamiento de los riesgos y


requisitos identificados.

METODOLOGÍA
1) Seleccione tres requisitos identificados en el Taller 1 (uno legal, uno
contractual, uno de la norma ISO 27001).

2) Seleccione dos riesgos de los identificados en el Taller 3 (requisitos


organizacionales), que superen el nivel aceptable de riesgo.

3) Identifique en el anexo A de la ISO 27001, el/los objetivo(s) de


control que responde(n) a cada requisito.

4) Seleccione, de estos objetivos de control, los controles que serán


implementados. Identifíquelos con X.
MP-30B-TALLERES-V4
Formato No. 5
Selección de controles
Control (Anexo A) Req. Legal: Req. Cliente: ISO 27001 Riesgo 1: Riesgo 2:
2649 1 270 210
A.5 Política de seguridad
5.1 Política de seguridad de la información.
A.5.1.1 Documento de la política de seguridad de la
información
A.5.1.2 Revisión de la política de seguridad de la
información
A.6 Organización de la seguridad de la
información
A.6.1 Organización Interna
A.6.1.1 Compromiso de la dirección con la
seguridad de la información
A.6.1.2 Coordinación de la seguridad de la
información
A.6.1.3 Asignación de responsabilidades de
seguridad de la información
A.6.2 Terceros
A.6.2.1 Identificación de riesgos relacionados con
partes externas
A.6.2.2 Tener en cuenta la seguridad cuando se
trata con clientes
A.6.2.3 Tener en cuenta la seguridad en acuerdos
con terceras partes
A.7 Gestión de activos
A. 7.1 Responsabilidad sobre los activos
A.7.1.1 Inventario de activos
A.7.1.2 Dueños de los activos
A.7.1.3 Uso aceptable de los activos
A. 7.2 Clasificación de la Información
A.7.2.1 Directrices para clasificación
A.7.2.2 Etiquetado y manejo de información
MI-30B-V4
Formato No. 5
Selección de controles
Control (Anexo A) Req. Legal: Req. Cliente: ISO 27001 Riesgo 1 Riesgo 2
1
A.8 Seguridad de los recursos humanos
A.8.1 Antes del Empleo
A.8.1.1 Roles y responsabilidades
A.8.1.2 Selección
A.8.1.3 Términos y condiciones de la relación
laboral
A.8.2 Durante el empleo
A.8.2.1 Responsabilidades de la dirección
A.8.2.2 Toma de conciencia, educación y formación
en seguridad de la información
A.8.2.3 Proceso disciplinario
A.8.3 Finalización o cambio del puesto de
trabajo
A.8.3.1 Responsabilidades de terminación
A.8.3.2 Devolución de activos
A.8.3.3 Retiro del derecho de acceso
A.9 Seguridad física y del entorno
A.9.1 Áreas Seguras
A.9.1.1 Perímetro físico de seguridad
A.9.1.2 Controles de acceso físico
A.9.1.3 Seguridad de oficinas, recintos e
instalaciones
A.9.1.4 Protección contra amenazas ambientales y
externas
A.9.1.5 Trabajo en áreas seguras
A.9.2 Seguridad de los Equipos X
A.9.2.1 Ubicación y protección de equipos
A.9.2.2 Servicios públicos de apoyo
A.9.2.3 Seguridad del cableado
A.9.2.4 Mantenimiento de equipos
A.9.2.5 Seguridad de los equipos fuera de las
instalaciones
A.9.2.6 Seguridad en la reutilización o eliminación
de equipos
A.9.2.7 Retiro de activos
A.10 Gestión de comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades de
operación
A.10.1.1 Procedimientos de operación
documentados
A.10.1.2 Gestión del cambio
A.10.1.3 Separación de funciones
A.10.1.4 Separación de las instalaciones de
desarrollo, ensayo y operacionales
A.10.2 Supervisión de los servicios contratados
a terceros
A.10.2.1 Prestación del servicio
A.10.2.2 Seguimiento y revisión de los servicios
prestados por terceras partes
A.10.2.3 Gestión de cambios en los servicios
suministrados por terceras partes
A.10.3 Planificación y aceptación del sistema X
A.10.3.1 Gestión de la capacidad
A.10.3.2 Aceptación del sistema
A.10.4 Protección contra software malicioso y
código móvil
A.10.4.1 Controles contra códigos maliciosos
A.10.4.2 Controles contra códigos móviles
A.10.5 Copias de Seguridad
A.10.5.1 Información de respaldo
A.10.6 Gestión de Seguridad de los Sistemas
Operativos
A.10.6.1 Controles de redes
A.10.6.2 Seguridad de los servicios de la red
A.10.7 Utilización y seguridad de los soportes
de información
A.10.7.1 Administración de los medios removibles
A.10.7.2 Eliminación de medios
A.10.7.3 Procedimientos para el manejo de la
información
A.10.7.4 Seguridad de la documentación del
sistema
A.10.8 Intercambio de información y software
A.10.8.1 Políticas y procedimientos para
intercambio de información
A.10.8.2 Acuerdos de intercambio
A.10.8.3 Medios físicos en tránsito
A.10.8.4 Mensajería electrónica
A.10.8.5 Sistemas de información del negocio
A.10.9 Servicios de comercio electrónico
A.10.9.1 Comercio electrónico
A.10.9.2 Transacciones en línea
A.10.9.3 Información disponible públicamente
A.10.10 Supervisión X
A.10.10.1 Registro de auditorías
A.10.10.2 Uso del sistema de seguimiento
A.10.10.3 Protección de la información del registro
A.10.10.4 Registros del administrador y el operador
A.10.10.5 Registro de fallas
A.10.10.6 Sincronización de relojes
A.11 Control de acceso
A.11.1 Requerimientos de negocio para el
control de accesos
A.11.1.1 Política de control de acceso
A.11.2 Gestión de Acceso de Usuario
A.11.2.1 Registro de usuarios
A.11.2.2 Gestión de privilegios
A.11.2.3 Gestión de contraseñas para usuarios
A.11.2.4 Revisión de los derechos de acceso de los
Usuarios
A.11.3 Responsabilidades del usuario
A.11.3.1 Uso de contraseñas
A.11.3.2 Equipo de usuario desatendido
A.11.3.3 Política de puesto de trabajo despejado y
bloqueo de pantalla
A.11.4 Control de acceso en red X
A.11.4.1 Política de uso de los servicios de red
A.11.4.2 Autenticación de usuarios para conexiones
externas
A.11.4.3 Identificación de equipos en redes
A.11.4.4 Protección de puertos de diagnóstico y
configuración remotos
A.11.4.5 Subdivisión de redes
A.11.4.6 Control de conexión a las redes
A.11.4.7 Control de enrutamiento en la red
A.11.5.1 Control de acceso al sistema operativo
A.11.5.1 Procedimientos de ingreso seguros
A.11.5.2 Identificación y autenticación de usuarios
A.11.5 Control de acceso al sistema operativo
A.11.5.3 Sistema de gestión de contraseñas
A.11.5.4 Uso de utilitarios* (utilities) del sistema
A.11.5.5 Plazo expirado de la sesión
A.11.5.6 Limitación del tiempo de conexión
A.11.6 Control de acceso a las aplicaciones y a
la información
A.11.6.1 Restricción de acceso a la información
A.11.6.2 Aislamiento de sistemas sensibles
A.11.7 Informática móvil y teletrabajo
A.11.7.1 Computación* y comunicaciones móviles
A.11.7.2 Trabajo remoto
A.12 Adquisición, desarrollo y mantenimiento de
sistemas de
Información
A.12.1 Requisitos de seguridad de los sistemas
de Información
A.12.1.1 Análisis y especificación de requisitos de
seguridad
A.12.2 Seguridad de las aplicaciones del
sistema
A.12.2.1 Validación de los datos de entrada
A.12.2.2 Control de procesamiento interno
A.12.2.3 Integridad de los mensajes
A.12.2.4 Validación de los datos de salida
A.12.3 Controles criptográficos
A.12.3.1 Política sobre el uso de controles
criptográficos
A.12.3.2 Gestión de llaves
A.12.4 Seguridad de los ficheros del sistema
A.12.4.1 Control del software operativo
A.12.4.2 Protección de los datos de ensayo del
sistema
A.12.4.3 Control de acceso al código fuente de los
programas
A.12.5 Seguridad en los procesos de desarrollo
y soporte
A.12.5.1 Procedimientos de control de cambios
A.12.5.2 Revisión técnica de las aplicaciones
después de cambios en el sistema operativo
A.12.5.3 Restricciones en los cambios a los
paquetes de software
A.12.5.4 Fuga de información
A.12.5.5 Desarrollo de software contratado
externamente
A.12.6 Gestión de las vulnerabilidades técnicas
A.12.6.1 Control de vulnerabilidades técnicas
A.13 Gestión de incidentes de seguridad de la
información
A.13.1 Comunicación de eventos y debilidades
en la seguridad de la información
A.13.1.1 Reporte de eventos de seguridad de la
información
A.13.1.2 Reporte de las debilidades de seguridad
A.13.2.1 Responsabilidades y procedimientos
A.13.2.2 Aprendizaje de los incidentes de seguridad
de la
información
A.13.2.3 Recolección de evidencia
A.14 Gestión de la continuidad del negocio X
A.14.1 Aspectos de la gestión de continuidad
del negocio
A.14.1.1 Incluir la seguridad de la información en el
proceso
de gestión de la continuidad del negocio
A.14.1.2 Valoración de la continuidad del negocio y
del riesgo
A.14.1.3 Desarrollo e implementación de planes de
continuidad que incluyen seguridad de la
información
A.14.1.4 Estructura de planeación de la continuidad
del negocio
A.14.1.5 Ensayo, mantenimiento y re-valoración de
los planes
de continuidad del negocio
A.15 Cumplimiento
A.15.1 Conformidad con los requisitos legales
A.15.1.1 Identificación de la legislación aplicable
A.15.1.2 Derechos de propiedad intelectual (DPI)
A.1.5.1.3 Protección de los registros de la
organización
A.15.1.4 Protección de los datos y privacidad de la
información personal
A.15.1.5 Prevención del uso inadecuado de las
instalaciones de procesamiento de la información
A.15.1.6 Reglamentación de los controles
criptográficos
A.15.2 Revisiones de la política de seguridad y
de la conformidad técnica
A.15.2.1 Cumplimiento de las políticas y normas de
seguridad
A.15.2.2 Verificación del cumplimiento técnicoç
A.15.3 Consideraciones sobre la auditoría de los
sistemas de información
A.15.3.1 Controles de auditoría de sistemas de
información
A.15.3.2 Protección de las herramientas de
auditoría de sistemas de información

MI-30B-V4
Formato No. 6
Enunciado de
aplicabilidad
Activo de Información Obj. control Controles Justificación

También podría gustarte