Actividad 2 - Javier Diaz

Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Gestión de la seguridad Actividad No

Views 197 Downloads 8 File size 181KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Javier L Diaz - Actividad N1
Javier L Diaz - Actividad N1

120 55 400KB Read more

Actividad1- Javier Diaz
Actividad1- Javier Diaz

53 1 652KB Read more

Javier L Diaz - Actividad N2 - Firmado
Javier L Diaz - Actividad N2 - Firmado

172 52 396KB Read more

Actividad 2 - Javier Diaz.docx
Actividad 2 - Javier Diaz.docx

45 1 510KB Read more

Actividad 2 Javier Rodriguez Mosquera
Actividad 2 Javier Rodriguez Mosquera

88 2 60KB Read more

Actividad Virtual Diaz
Actividad Virtual Diaz

53 2 283KB Read more

Actividad 2_u6_Anova_Leidy Diaz
Actividad 2_u6_Anova_Leidy Diaz

3 0 1MB Read more

Javier Diaz Noci La Escritura Digital
Javier Diaz Noci La Escritura Digital

1 0 53KB Read more

Diaz Javier Estabilizacion Talud Costa Verde Magdalena
Diaz Javier Estabilizacion Talud Costa Verde Magdalena

40 65 3MB Read more

Diaz
Diaz

2 0 176KB Read more

Citation preview

Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Gestión de la seguridad Actividad No. 2: Caso práctico proyectos de seguridad Estudiante: Javier Leonardo Díaz García

1. Desarrollo de la actividad 1.1 Contexto de la organización: 1.1.1. Descripción Somos una empresa especialista en fabricación de Maquinaria Industrial y poseemos un amplio surtido de maquinaria diseñada y fabricada para diversos sectores de la Industria. Nos encargamos de llevar a cabo todas las fases del proyecto, abarcando desde la Ingeniería y diseño de la maquinaria hasta la implantación, puesta en marcha y la entrega final en las instalaciones del cliente, aportando siempre soluciones eficientes e innovadoras. Ofrecemos la Integración de Robótica Industrial en su maquinaria, instalaciones o líneas, que le ayudarán a la mejora del rendimiento de su maquinaria.

1.1.2. Análisis de cuestiones internas y externas:1 CUESTIONES INTERNAS

Debilidades

-

-

Fortalezas

Dificultades relacionadas con identificación, análisis y valoración de riesgos de seguridad informática, en los procesos de Diseño y Producción. Gestión incorrecta de las vulnerabilidades técnicas Seguridad física deficiente Baja seguridad en las redes de la empresa

-

Equipo consultor en seguridad de la información idóneo. Lealtad y satisfacción de los clientes Estabilidad laboral del personal y alto sentido de pertenencia con la empresa.

CUESTIONES EXTERNAS

Amenazas

-

-

1

Aumento de los niveles de actos de ciber criminales a través de internet buscando beneficios Falta de asesoría por parte de los entes gubernamentales con respecto al cumplimiento de los requerimientos relacionados con seguridad de la información (Habeas Data)

ISO/IEC 27001:2013

Oportunidades

-

Necesidad creciente de implementar programas o sistemas de gestión de la seguridad informática, debido a requerimientos legales y comerciales.

1.1.3. Necesidades y expectativas de las partes interesadas:2 PARTE INTERESADA

Junta directiva del grupo

NECESIDAD O EXPECTATIVA

-

Clientes

-

Proveedores

-

Empleados Entes de control

-

Cumplimiento de políticas y directrices corporativas relacionadas con la seguridad de la información. Garantizar la seguridad de la información relacionada con diseños e información confidencial acerca del proceso industrial, para el cual se va a producir la maquinaria. Evaluación de los servicios y en caso de ser necesario, correcciones y sugerencias para mejora. Capacitaciones adecuadas para el correcto desempeño de las funciones asignadas, que tienen que ver con seguridad de la información. Cumplimiento de las leyes relacionadas con seguridad de la información, que en su mayoría tratan de protección de datos personales.

1.1.4. Alcance del SGSI Asegurar la información relativa a las tareas de diseño y producción de la maquinaria industrial desarrollada para nuestros clientes, así como los procesos y sistemas que almacenan, manejan y soportan la información, mediante el mantenimiento de la integridad, disponibilidad y confidencialidad de la misma.

1.2. Identificación de riesgos relacionados con seguridad de la información3 TIPO

HARDWARE

SOFTWARE

RED

VULNERABILIDAD

Mantenimiento insuficiente de equipos y medidas de seguridad física. Ausencia de esquemas de reemplazo periódico Susceptibilidad a la humedad, el polvo y humedad Falta de protección a variaciones de voltaje Asignación errada de derechos de usuario Ausencia de documentación Configuración incorrecta de parámetros Falta de mecanismos de identificación y autenticación Ausencia de copias de respaldo Líneas de comunicación sin protección Tráfico sensible sin protección Conexión deficiente de los cables Arquitectura insegura de la red Transferencia de contraseñas en claro Gestión inadecuada de la red

LUGAR

ORGANIZACIÓN

2 3

Uso inadecuado o descuidado del control de acceso físico a edificaciones y/o recintos Red eléctrica inestable Ausencia de protección física de la edificación, puertas y ventanas Ausencia de mecanismos de monitoreo para detectar brechas de seguridad Falta de seguimiento a activos fuera de la empresa

ISO/IEC 27001:2013 NTC-ISO/IEC 27005:2009

RIESGO

-

Daños y robos de equipos Pérdida de información Corrupción de datos

-

Corrupción de datos Abuso de derechos Error en el uso Pérdida o robo de información

-

Error en el uso de la información Espionaje remoto Fallas en los equipos Falsificación de derechos de acceso Saturación de la red Hurto de equipos Destrucción de equipos o medios Acceso físico a los equipos por parte de personal no autorizado Abuso de derechos Usos no autorizados

-

Ausencia de procedimientos y directrices para empleados y usuarios Ausencia de procedimientos adecuados de identificación y gestión de riesgos. Gestión incorrecta de las vulnerabilidades técnicas.

-

Incumplimientos contractuales Sanciones legales y/o contractuales

1.3. Priorización de proyecto 1 Gestión de vulnerabilidades técnicas 2 Mejoras de la seguridad física 3 Incremento en la seguridad de las redes Justificación: En el proceso de gestión de vulnerabilidades técnicas, se pueden revisar los aspectos inherentes a los otros dos aspectos mencionados en la actividad, el de seguridad física y la seguridad en las redes. Es debido a esto que se prioriza la gestión de vulnerabilidades, teniendo en cuenta que en el plan de trabajo se considerarán aspectos relacionados a los otros dos ítems antes mencionados.

1.3.1. Mitigación de riesgos identificados TIPO

VULNERABILIDAD

HARDWARE

Mantenimiento insuficiente de equipos y medidas de seguridad física. Ausencia de esquemas de reemplazo periódico Susceptibilidad a la humedad, el polvo y humedad Falta de protección a variaciones de voltaje Asignación errada de derechos de usuario Ausencia de documentación

SOFTWARE

Configuración incorrecta de parámetros Falta de mecanismos de identificación y autenticación Ausencia de copias de respaldo Líneas de comunicación sin protección Tráfico sensible sin protección Conexión deficiente de los cables

RED

Arquitectura insegura de la red Transferencia de contraseñas en claro Gestión inadecuada de la red

LUGAR

ORGANIZACIÓN

Uso inadecuado o descuidado del control de acceso físico a edificaciones y/o recintos Red eléctrica inestable Ausencia de protección física de la edificación, puertas y ventanas Ausencia de mecanismos de monitoreo para detectar brechas de seguridad Falta de seguimiento a activos fuera de la empresa

CONTROL

Plan de mantenimiento de equipos, con verificación. Instalación de sistema de control de ambiente Instalación de UPS Definición y socialización de procedimiento de cuentas de usuario Definición de procedimiento de control documental Desarrollo de manuales de configuración Definición y socialización de procedimiento de cuentas de usuario Definición de mecanismos de BackUp Establecimiento de canales cifrados Plan de mantenimiento de equipos, con verificación. Diseño e implementación de red segura, por fases. Establecimiento de canales cifrados Establecimiento de comités de seguridad informática con personal idóneo Plan de mejoramiento de seguridad física Instalación de UPS Plan de mejoramiento de seguridad física Procedimiento de inspecciones periódicas a la red. Definición de herramienta gestión de equipos fuera de las oficinas. Ej: Gsuite Business Plan

1.4. Desarrollo del proyecto 1.4.1. Descripción general del proyecto Se va a realizar la identificación, evaluación y gestión de vulnerabilidades de la organización. La metodología tendrá en cuenta aspectos tales como fondos asignados, tecnología disponible, personal idóneo, entre otros. Se realizarán tres pruebas específicas:

Exploración de vulnerabilidades por medio de herramienta automática Prueba y evaluación de la seguridad, de forma manual y aleatoria. Pruebas de penetración

-

1.4.2. Objetivo y alcance Este proceso se realiza con el fin de obtener información acerca de las vulnerabilidades técnicas de los sistemas de información, para identificarlas y evaluarlas, además de conocer el nivel de exposición de la organización a las diferentes amenazas tanto internas como externas.

1.4.3. Tiempo estimado Teniendo en cuenta el número de equipos, empleados y que el proceso se tiene que realizar por fases para afectar en la menor medida posible, las actividades diarias del personal, el proyecto se desarrollará en 50 días calendario, teniendo presente que pueden presentarse actividades relacionadas al control de vulnerabilidades que superen este tiempo, debido a limitaciones de recursos económicos, humano y técnico de la organización.

1.4.4. Plan de acción del proyecto4 No. 1 2 3 4

5

6 7 8 9 10

4

Actividad Definición de roles y responsabilidades para todo el personal que va a tener relación con el proyecto de gestión de vulnerabilidades. Identificación de recursos a utilizar para identificar vulnerabilidades Definición de procedimientos de pruebas, tiempos y resultados esperados Definición de registros de auditoria de las pruebas. Desarrollo de pruebas definidas: - Exploración de vulnerabilidades por medio de herramienta automática - Prueba y evaluación de la seguridad, de forma manual y aleatoria. - Pruebas de penetración Análisis de eficacia de controles Evaluación de la capacidad del sistema para tolerar intentos de acceso o ataques malintencionados. Identificación de vulnerabilidades y evaluación de riesgos asociados, según resultado de pruebas. Definición del nivel de riesgo de la organización Definición de medidas para contrarrestar vulnerabilidades: - Adaptar o adicionar controles a los existentes - Definir controles nuevos

GTC-ISO/IEC 27002:2015

Entregable o evidencia Acta de conformación de equipo para gestión de vulnerabilidades

Plan de pruebas

Informe de vulnerabilidades

Plazo CP

CP

análisis

de

Matriz de riesgos asociados a vulnerabilidades encontradas Plan de acción vulnerabilidades

para

MP

MP

MP - LP

Incrementar seguimiento a vulnerabilidades difíciles de controlar - Toma de conciencia Priorización de medidas teniendo en cuenta: - Urgencia - Relación Costo vs beneficio - Tiempos de implementación - Gestión del cambio relacionada a los controles Plan de implementación de controles a las vulnerabilidades, relacionado con la gestión de incidentes de la organización. -

11

12

2. -

13

Seguimiento a la implementación de controles

14

Seguimiento al proceso de gestión de vulnerabilidades

Verificación del plan de implementación Plan de auditoria, teniendo en cuenta este ítem específico

MP-LP

Bibliografía / Webgrafía ISO/IEC 27001:2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos GTC-ISO/IEC 27002:2015 Técnicas de seguridad. Código de práctica para controles de seguridad NTC-ISO/IEC 27005:2009 Técnicas de seguridad. Gestión del riesgo en la seguridad de la información Basin, D., Schaller, P., & Schlapfer, M. (2011). Applied information security. Berlin: Springer. Stallings, W., & Brown, L. (2015). Computer security. Boston, Mass: Pearson.

LP