Avance 1 - Trabajo Colaborativo.docx

Modelos y Estándares en Seguridad Informática Fase 2. Desarrollar el análisis de riesgos en la organización

JOHN FREDY QUINTERO MENDEZ 79.469.309

CHRISTIAN REYNALDO ANGULO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA 2019 INTRODUCCIÓN

Objetivos

Objetivo General Desarrollar el análisis de riesgos en la organización Objetivos Específicos 

Reconocer la importancia del análisis de riesgos en una organización



Diseñar el análisis de riesgos usando la metodología MAGERIT



Aplicar controles derivados de un análisis de riesgos.

DESARROLLO Es de conocimiento general que toda compañía está expuesta a riesgos; teniendo en cuenta que no existe un entorno 100% seguro y que la exposición a los riesgos es constante. Por tal motivo toda compañía debe estar alerta a cualquier cambio o situación extraña que se considere podría afectar negativamente a un activo, a un dominio o a toda su organización.

1. Identificación de activos: Esta tarea es crítica por que una, buena identificación permite realizar las siguientes tareas:    

Establecer las dependencias entre los activos Permite valorar a los activos con precisión Ayuda a identificar y valorar las amenazas Escoge que salvaguardas serán necesarias para proteger el sistema

Se identifico los siguientes activos en la compañía Grupo ASD: [IS] Servicios Internos Para los empleados, de la organización se presta los siguientes servicios: • •

[TELF_PIB] TELEFONÍA IP [INTERNET_PIB] INTERNET

[SW] Aplicaciones (Software) Entre las aplicaciones que ostenta la institución tenemos los siguientes: • • • • •

[SIS_PIB] BIZNET [OFF_PIB] OFIMÁTICA [AV_PIB] ANTIVIRUS [OS_PIB] SISTEMA OPERATIVO [OTR_PIB] OTROS SOFTWARE

[HW] Equipos Dentro de los equipos informáticos que posee la institución tenemos los siguientes: • • • •

[SDB_PIB] SERVIDOR DE BASE DE DATOS [PRINT_PIB] MEDIOS DE IMPRESIÓN [PC_PIB] COMPUTADORAS DE ESCRITORIO [ROUTER_PIB] ROUTER

[COM] Comunicaciones A través de los siguientes medios de transporte de información tenemos: • • • •

[IPPHONE_PIB] TELEFONÍA IP [WIFI_PIB] RED WIFI [LAN_PIB] RED LAN [IEX_PIB] INTERNET

[AUX] Equipamiento Auxiliar La empresa cuenta con los siguientes equipos auxiliares: • • • • • • • •

[GEN_PIB] GENERADOR ELÉCTRICO [CABLING_PIB] CABLEADO [MOB_PIB] MOBILIARIO [SISVG_PIB] SISTEMA DE VIGILANCIA [ANT_PIB] ANTENAS [RAD_PIB] RADIOS [SAI_PIB] SISTEMA DE ALIMENTACIÓN ININTERRUMPIDA [AUXOTR_PIB] OTROS EQUIPOS AUXILIARES

TIPO

ACTIVOS

Servicios

Grupo ASD una empresa colombiana con 36

años

de

experiencia

ofreciendo

Soluciones de Tercerización de Procesos de

Negocio

ProcessOutsourcing) Tecnológicas

de

BPO

(Business

y

Soluciones

Información

(IT

Information Technology) en los sectores

Gobierno, Salud, Financiero, Educación, Industria y Telecomunicaciones. Datos/

Cuando se concibió nuestra empresa era

Información

un sueño, pero con el transcurrir de los años, con trabajo, constancia, amor por lo que se hace, pasión, respeto hacia nuestros clientes, se fue dando forma y hoy tenemos la empresa líder en Colombia llevando

a

cabo

Soluciones

de

Tercerización de Procesos de Negocio BPO (Business Process Outsourcing) y Soluciones Tecnológicas de Información (IT Information Technology). Reglamento interno de trabajo, procesos, formatos, Código Fuente:

página

web

de

la

empresa(http://www.grupoasd.com.co) Código Ejecutable: agenda Aplicaciones (Software)

Programas, aplicativos,

correo

Outlook,

gmail, etc, páginas Web, firewall, sistemas operativos (Windows. Linux), programa de control de acceso, Windows server, etc. Equipos informáticos

Computadores, servidor, planta telefónica, cámaras de seguridad, switches, etc.

Hardware

Impresoras, teléfonos, scanner, lectores, pantallas, teclado.

Redes de Comunicaciones

Red Local Internet Red telefónica Red inalámbrica

Soportes de Información

Discos Duros Memorias USB

Blu-ray Dvd Instalaciones

Calle 32 No.13 - 07

Personal

Gobierno,

salud,

financiero,

industria,

educación, Telecomunicaciones

Valoración de los activos Para cada valoración conviene tomar en consideración la siguiente información: • •

Dimensiones en las que el activo es relevante Estimación de la valoración en cada dimensión 

Criterios de la valoración

Nivel 10 9 8 7 6 5 4 3 2 1 0

Dimensiones: D: Disponibilidad I: Integridad de los datos C: confidencialidad de los datos A: autenticidad de los datos y usuarios T: Trazabilidad del servicio

Criterion Nivel 10 Nivel 9 Nivel 8(+) Alto Alto(-) Medio(+) Medio Medio(-) Bajo(+) Bajo Depreciable

Activos

[D]

Dimensiones [I] [C] [A] [T]

Servicios internos Telefonía IP Internet

[6]

[7] [8]

[7] [8]

[9] [9]

[9]

[9] [7] [7] [7] [5]

[9] [9]

[9]

[9] [6] [8] [8]

Aplicaciones Biznet Ofimática Antivirus Sistema Operativo Otros Software Equipos Servidor de Base de Datos Medios de Impresión Computadoras de Escritorio Router Comunicaciones Telefonía IP Red WIFI Red LAN Internet Equipos Auxiliares CABLEADO Mobiliario Sistema de Vigilancia Antenas Radios Sistema de Alimentación Ininterrumpida Otros Equipos Auxiliares Soportes de Información CD Instalaciones Edificio Personal Jefa del Dto. Financiero Mantenimiento BD Mantenimiento EQ Jefa del Dto. de Contabilidad Jefa del Dto. de Logística y Compras Jefa del Dto. de Personal Auxiliar de Contabilidad Digitadora Tabla #. Valor Propio de los Activos

[7] [7] [7] [7] [7]

[7] [7] [7] [7] [7] [5] [7] [7] [8] [8] [7] [7] [8] [8] [8] [7] [6]

REFERENCIAS 

Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y Crédito

Jardín

Azuayo

utilizando

la

metodología

Magerit,,

http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 38. 

Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y Crédito Jardín Azuayo utilizando la metodología Magerit, http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 39



Magerit-versión 3 .0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://www.ccncert.cni.es/publico/herramientas/pilar5/magerit/ç, p 37