Elaboración del documento de metodología de análisis y gestión de riesgos de una organización
Enviado por saul castellanos • 14 de Julio de 2019 • Ensayo • 761 Palabras (4 Páginas) • 158 Visitas
Elaboración del documento de metodología de análisis y gestión de riesgos de una organización[pic 1]
Plan Director de Seguridad de la información
Introducción:
En este documento se propone un Plan Director de Seguridad de la Información que utilizara como norma la ISO 27001. Esta norma nos ayuda a identificar los riesgos y como tratarlos por medio de controles o reducir su impacto.
Actualmente la compañía cuenta con procesos para la reacción a incidentes de seguridad, pero esos procesos son independientes de cada área, por lo que la dirección general decide implementar y desarrollar un plan director de seguridad, con el cual protegerá sus activos core y su información. También incluirá los proyectos actuales y los nuevos que se realizarán para lograr la meta planteada por la alta dirección, y contar con información disponible y segura.
Desarrollo
Comenzaremos con la utilización de los siguientes pasos que se encuentran en la figura de abajo y se utilizarán para todo este proceso en la integración ISO 27001. Nos enfocaremos en reducir los riesgos a los cuales estamos más vulnerables, pero sin afectar los procesos de negocio de la compañía. Para esto es necesario que los integremos a los procesos y no los procesos a la norma.
[pic 2]
Definición el alcance del Plan
Centraremos el plan de director de seguridad en cumplir con la información accesible y segura para todos los usuarios de la empresa, se involucrará al departamento de TI y se le mostrarán las acciones a tomar. Se involucra principalmente a este departamento ya que son quien resguardan y manejan la información y su seguridad.
Identificación de los activos
Se identificó que los activos más valiosos para la organización son los datos de los usuarios que se encuentran en el AD, todas las políticas y manera de operar las comunicaciones de la empresa, estas se encuentran en el Firewall y la base de datos que se encuentran en él Web Server.
Algunos de los procesos más críticos son los que hace Recursos Humanos con sus usuarios con la información del AD. También la publicación del Web server por medio del Firewall que muestra la página donde los clientes hacen sus movimientos.
Los activos que conllevan estos procesos, son los siguientes:
ID | Nombre | Descripción | Responsable | Tipo | Ubicación | Critico |
001 | Servidor AD Athenea | Servidor con la información de los colaboradores como el acceso a los sistemas por SSO | DTI | Servidor fisco | Data Center | Si |
010 | Firewall | Dispositivo encargado de la protección perimetral | Gerente de TI | Servidor Fisico | Data Center | Si |
017 | Web Server Hades | Servidor de clientes y todos los proyectos | DOP | Servidor Fisico | Data Center | SI |
Identificación de Amenazas
Para la identificación de amenazas realizamos una matriz que nos ayuda a clasificar los riesgos.
ID | Vulnerabilidad | Probabilidad | Amenaza | Impacto | Contramedida |
V1 | El data center no cuenta con UPS | Muy Alta | Falla Física de los servidores y Firewall | Muy Alto | Adquirir un UPS que soporte la infraestructura |
V2 | El Web Server no cuenta con protocolo seguro HTTPS | Alta | El intercambio de comunicación es en texto plano | Bajo | Instalar un certificado y utilizar HTTPS |
V3 | El AD se encuentra en la red LAN de usuarios y no en la DMZ | Alta | Ataques internos al servidor AD | Alto | Segmentar la red y poner el servidor AD en una DMZ |
V4 | Se venció la licencia del Firewall | Baja | Dejar de proteger el Firewall | Medio | Renovar el licenciamiento antes de vencer |
V5 | No se están respaldando de información | Media | Se descomponga algún servidor y no hay respaldos | Alto | Programar backups diarios |
...