ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Elaboración del documento de metodología de análisis y gestión de riesgos de una organización


Enviado por   •  14 de Julio de 2019  •  Ensayo  •  761 Palabras (4 Páginas)  •  162 Visitas

Página 1 de 4

Elaboración del documento de metodología de análisis y gestión de riesgos de una organización[pic 1]

Plan Director de Seguridad de la información

Introducción:

En este documento se propone un Plan Director de Seguridad de la Información que utilizara como norma la ISO 27001. Esta norma nos ayuda a identificar los riesgos y como tratarlos por medio de controles o reducir su impacto.

Actualmente la compañía cuenta con procesos para la reacción a incidentes de seguridad, pero esos procesos son independientes de cada área, por lo que la dirección general decide implementar y desarrollar un plan director de seguridad, con el cual protegerá sus activos core y su información. También incluirá los proyectos actuales y los nuevos que se realizarán para lograr la meta planteada por la alta dirección, y contar con información disponible y segura.

Desarrollo

Comenzaremos con la utilización de los siguientes pasos que se encuentran en la figura de abajo y se utilizarán para todo este proceso en la integración ISO 27001. Nos enfocaremos en reducir los riesgos a los cuales estamos más vulnerables, pero sin afectar los procesos de negocio de la compañía. Para esto es necesario que los integremos a los procesos y no los procesos a la norma.

[pic 2]

Definición el alcance del Plan

Centraremos el plan de director de seguridad en cumplir con la información accesible y segura para todos los usuarios de la empresa, se involucrará al departamento de TI y se le mostrarán las acciones a tomar. Se involucra principalmente a este departamento ya que son quien resguardan y manejan la información y su seguridad.

Identificación de los activos

Se identificó que los activos más valiosos para la organización son los datos de los usuarios que se encuentran en el AD, todas las políticas y manera de operar las comunicaciones de la empresa, estas se encuentran en el Firewall y la base de datos que se encuentran en él Web Server.

Algunos de los procesos más críticos son los que hace Recursos Humanos con sus usuarios con la información del AD. También la publicación del Web server por medio del Firewall que muestra la página donde los clientes hacen sus movimientos.

Los activos que conllevan estos procesos, son los siguientes:

ID

Nombre

Descripción

Responsable

Tipo

Ubicación

Critico

001

Servidor AD Athenea

Servidor con la información de los colaboradores como el acceso a los sistemas por SSO

DTI

Servidor fisco

Data Center

Si

010

Firewall

Dispositivo encargado de la protección perimetral

Gerente de TI

Servidor Fisico

Data Center

Si

017

Web Server Hades

Servidor de clientes y todos los proyectos

DOP

Servidor Fisico

Data Center

SI

Identificación de Amenazas

Para la identificación de amenazas realizamos una matriz que nos ayuda a clasificar los riesgos.

ID

Vulnerabilidad

Probabilidad

Amenaza

Impacto

Contramedida

V1

El data center no cuenta con UPS

Muy Alta

Falla Física de los servidores y Firewall

Muy Alto

Adquirir un UPS que soporte la infraestructura

V2

El Web Server no cuenta con protocolo seguro HTTPS

Alta

El intercambio de comunicación es en texto plano

Bajo

Instalar un certificado y utilizar HTTPS

V3

El AD se encuentra en la red LAN de usuarios y no en la DMZ

Alta

Ataques internos al servidor AD

Alto

Segmentar la red y poner el servidor AD en una DMZ

V4

Se venció la licencia del Firewall

Baja

Dejar de proteger el Firewall

Medio

Renovar el licenciamiento antes de vencer

V5

No se están respaldando de información

Media

Se descomponga algún servidor y no hay respaldos

Alto

Programar backups diarios

...

Descargar como (para miembros actualizados) txt (6 Kb) pdf (114 Kb) docx (50 Kb)
Leer 3 páginas más »
Disponible sólo en Clubensayos.com